Les principales agences de sécurité américaines développent un environnement virtuel qui utilise l'apprentissage automatique dans le but de mieux comprendre les cybermenaces et de partager les résultats avec les organisations publiques et privées.
Fruit d'un effort conjoint entre la Direction des sciences et de la technologie (S&T), logée au sein du Département de la sécurité intérieure (DHS), et l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), un bac à sable d'IA sera conçu pour que les chercheurs puissent collaborer et tester des approches et techniques analytiques dans la lutte contre les cybermenaces.
La plateforme analytique avancée pour l'apprentissage automatique (CAP-M) de la CISA sera utilisée à cette fin dans des scénarios sur site et multi-cloud.
Tirer les leçons des menaces
"Bien que soutenant initialement les missions cybernétiques, cet environnement sera flexible et extensible pour prendre en charge des ensembles de données, des outils et une collaboration pour d'autres missions de sécurité des infrastructures", a déclaré le DHS.
Diverses expériences seront menées dans CAP-M, et les données seront analysées et corrélées pour aider toutes sortes d'organisations à se protéger contre les menaces de cybersécurité, un monde en constante évolution.
Les données expérimentales seront mises à la disposition d'autres services gouvernementaux, ainsi que d'institutions universitaires et d'entreprises du secteur privé. Le S&T a assuré que les préoccupations en matière de protection de la vie privée seront prises en compte.
Une partie des expériences consistera à tester les techniques d'IA et d'apprentissage automatique dans leurs capacités d'analyse des cybermenaces et leur efficacité en tant qu'outils pour aider à les combattre. CAP-M créera également une boucle d'apprentissage automatique pour automatiser les flux de travail, comme l'exportation et le réglage des données.
S'adressant à The Register, Monti Knode, directeur de la plateforme de pentesting Horizon3.ai, a déclaré qu'un tel plan était attendu depuis longtemps, mais a salué la possibilité de tester les compétences analytiques.
Knode a commenté les échecs passés qui ont "contribué de manière écrasante à la fatigue liée aux alertes au fil des ans, entraînant les analystes et les praticiens sur des fausses pistes, ainsi que dans des alertes réelles qui comptent mais sont enterrées".
Il a ajouté que "les laboratoires reproduisent rarement la complexité et le bruit d'un environnement de production en direct, mais [CAP-M] pourrait être une étape positive."
En spéculant sur la façon dont cela pourrait fonctionner, Knode a suggéré que des attaques simulées pourraient être exécutées automatiquement pour entraîner l'IA sur celles-ci afin d'apprendre comment elles fonctionnent et comment les repérer.
Sami Elhini, spécialiste en biométrie chez Cerberus Sentinel, s'est montré également optimiste quant au fait que l'apprentissage et l'analyse des menaces pourraient conduire à une compréhension plus approfondie de celles-ci, mais a mis en garde contre le fait que les modèles pourraient devenir trop généralisés et ainsi rater des menaces sur des cibles plus petites, les filtrant comme insignifiantes.
Il a également soulevé des problèmes de sécurité, affirmant que "lorsqu'on expose des modèles [IA/ML] à un public plus large, la probabilité d'une faille augmente". Il a ajouté que d'autres nations pourraient cibler le CAP-M pour en apprendre davantage sur son fonctionnement, voire l'entraver.
Cependant, il semble surtout que le projet fédéral soit positif. Craig Lurey, cofondateur et directeur technique de Keeper Security, a également déclaré à The Register que "les projets de recherche et de développement au sein du gouvernement fédéral peuvent contribuer à soutenir et à catalyser des efforts de R&D disparates au sein du secteur privé. ... La cybersécurité relève de la sécurité nationale et doit être considérée comme une priorité en tant que telle."
Tom Kellermann, un vice-président de Contrast Security, s'est fait l'écho de ces sentiments, déclarant que CAP-M est un "projet essentiel pour améliorer le partage d'informations sur les TTP [tactiques, techniques et procédures] et renforcer la connaissance de la situation dans le cyberespace américain."
