Sophos, leader mondial de la cybersécurité Next-Gen, annonce quatre nouveaux développements d’Intelligence artificielle (IA) pour élargir et à affiner les défenses contre les cyberattaques. Car si le partage de méthodologies et de découvertes en matière d’IA est une pratique courante dans d’autres secteurs, la cybersécurité a pris du retard dans ce domaine, ce qui a pour conséquence une mécompréhension de la manière dont l’IA permet réellement de protéger contre les cybermenaces. Ainsi les nouveaux outils, les datasets et les méthodologies conçus par Sophos visent à améliorer la collaboration dans le secteur et l’innovation cumulative. L’annonce de ces développements correspond au souhait de Sophos de rendre publiques ses découvertes en matière de data science et de rendre ainsi l’utilisation de l’IA en matière de cybersécurité plus transparente tout en renforçant la protection des entreprises contre toutes formes de cybercrimes.
Ces développements interviennent dans les quatre domaines essentiels suivants :
SOREL-20M, un projet mené conjointement par SophosAI et ReversingLabs, est un dataset à l’échelle de la production contenant des métadonnées, des étiquettes et des caractéristiques pour 20 millions de fichiers Portable Executable (PE) Windows. Il inclut 10 millions d’échantillons de malwares désamorcés et téléchargeables afin de faire des recherches sur l’extraction des caractéristiques et d’accélérer les améliorations en matière de sécurité. Il s’agit du premier dataset de recherches sur les malwares à l’échelle de la production rendu disponible au grand public qui contient un ensemble d’échantillons étiquetés et organisés et des métadonnées pertinentes pour la sécurité.
La protection contre l’usurpation d’identité de SophosAI est conçue pour protéger contre les attaques de spearphishing par e-mail, au cours desquelles l’identité de personnes influentes est usurpée afin d’inciter les destinataires à entreprendre des actions néfastes. Cette nouvelle protection compare le nom affiché dans les e-mails entrants avec les titres des dirigeants haut placés ceux qui sont le plus susceptibles de voir leur identité usurpée dans un attaque de spearphishing, comme les PDG, les directeurs financiers et les présidents, qui sont spécifiques à certaines entreprises et signalent ces messages lorsqu’ils semblent suspects. Sophos a entrainé l’IA qui œuvre en coulisses à partir d’un vaste échantillon contenant de millions d’e-mails d’attaques connus.
SophosAI a également bâti un ensemble de modèles statistiques inspirés de l’épidémiologie pour estimer la prévalence des infections par malwares dans son ensemble, ce qui permet à Sophos d’estimer la quantité et de trouver les « aiguilles dans une botte » de fichiers PE. SophosAI a été l’une des premières à utiliser et à rendre publiquement disponible cette méthode qui permet d’estimer l’étendue de la « matière noire » malveillante ou de déterminer la quantité de malwares manqués ou mal classifiés et de « malwares futurs » que sont en train de développer les attaquants. Le modèle est conçu pour une extension à d’autres classes de fichiers et d’artefacts issus des systèmes d’informations.
La génération de signatures pour la détection des familles de malwares est un processus manuel laborieux. Au fil des ans, les chercheurs ont proposé une grande variété de méthodes de génération de signature automatique dont la plupart n’ont pas été adoptées, car elles étaient moins performantes que les méthodes manuelles. SophosAI a développé une nouvelle méthode de génération de signature automatique appelée YaraML, radicalement différente des options précédentes, car elle adresse le problème en se fondant sur l’IA. SophosAI « compile » directement des modèles de machine learning aboutis et de force industrielle, du même type que ceux utilisées dans les produits de sécurité commerciaux, au sein de langages de signature, permettant ainsi à l’IA « d’écrire » les signatures. Cette méthode se révèle bien plus efficace que les approches précédentes et représente une avancée pour la communauté de la sécurité. SophosAI a rendu YaraML disponible en open source.
A cette occasion, Joe Levy, Chief Technology Officer chez Sophos déclare « Sophos et SophosIA, son équipe de data scientists, souhaitent devenir les catalyseurs de l’ouverture et de la transparence, pour que les décisionnaires IT, les analystes spécialistes de la sécurité, les directeurs financiers, les PDG et les autres acteurs qui achètent des solutions ou prennent des décisions concernant la sécurité puissent discuter et évaluer les avantages de l’IA en disposant d’informations équivalentes et fiables. »
SophosAI fonctionne à la manière d’un incubateur de start-ups, tout en disposant des ressources intellectuelles d’une entreprise dont la valeur approche le milliard de dollars et qui compte plusieurs milliers de clients. Elle bénéficie notamment des enseignements du SophosLabs et de Sophos Managed Threat Response. Enfin, les avancées de SophosAI peuvent également être intégrées directement au sein des nouveaux produits. Ce modèle permet à Sophos de répondre rapidement aux besoins du marché, de prédire la direction que le secteur doit prendre et de faire avancer l’esprit d’ouverture pour améliorer la collaboration et l’innovation dans le domaine de la cybersécurité, tous ces éléments étant essentiels au développement de défenses contre des adversaires qui évoluent rapidement.