Grâce à l’amélioration de l’IA et l’enrichissement des bases de données qui fournissent l’entraînement aux modèles d’apprentissage automatique, les éditeurs de cybersécurité mettent en place les nouveaux SOC assistés par l’IA.
Pour aider les entreprises à mieux se défendre contre des cyberattaques en évolution constante et de plus en plus complexes, le concept de « cobotique » en cybersécurité regroupe les capacités des algorithmes de détection et de réponse aux compétences de spécialistes de la cybersécurité, pour proposer d’offres de solutions de sécurité gérées. Il s’agit de mettre sur pied le Security Operation Center du futur, issu des développements en matière de XDR, d’innovation en IA et de posture de sécurité programmable, et alimenté par le circuit de valeur AI-UX.
C’est ce que vient d’annoncer Sophos avec la création de Sophos X-Ops, une nouvelle unité fédérant SophosLabs, Sophos Secops et Sophos AI, ses trois équipes d’experts en cybersécurité. « Sophos X-Ops s’appuie sur les informations prédictives concrètes, en temps réel, issues de la veille des menaces et des recherches approfondies menées par chacune de ces équipes, qui collaborent à leur tour afin de fournir des capacités encore plus robustes et innovantes de protection, de détection et de réponse », explique l’éditeur.
Pour l’occasion, Sophos a publié une étude,« OODA: Sophos X-Ops Takes On Burgeoning SQL Server Attacks », concernant une recrudescence des attaques contre des serveurs Microsoft SQL non corrigés et l’utilisation par des cyberattaquants d’un faux site de téléchargement et d’outils d’accès distants disponibles sur le marché gris pour diffuser diverses familles de ransomwares. Sophos y décrit comment X-Ops a pu identifier et déjouer ces attaques, car les équipes ont conjugué leurs connaissances respectives des incidents, analysé ceux-ci conjointement et agi de concert afin de contenir et de neutraliser rapidement les cyberattaquants.
Vers le SOC autonome ?
Les SOC combinant l’IA et les compétences humaines sont le résultat de la confluence de multiples tendances technologiques qui arrivent à maturité. La première d’entre elles est l’intégration croissante de toutes les données de sécurité issues de bases de clients extensives et collectées par les fournisseurs de détection et de réponse étendues (XDR). Des bases qui fournissent pour la première fois les données d’entraînement nécessaires aux futurs modèles d’apprentissage automatique des SOC assistés par l’IA. La deuxième tendance est l’innovation en matière d’IA afin de produire de meilleurs algorithmes d’apprentissage automatique, des outils et une infrastructure d’IA dans le cloud, ce qui ouvre des possibilités pour les capacités d’apprentissage automatique du SOC assisté par l’IA.
Le troisième facteur qui ouvre la voie à cette tendance est la posture de sécurité programmable, dans laquelle les produits informatiques, de cloud et de sécurité, reposent de plus en plus des API de gestion sécurisées. À mesure que le paysage informatique devient contrôlable via ces API, les SOC assistés par l’IA peuvent fournir des capacités d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) qui se comportent comme des écosystèmes autonomes, mettant à jour les postures de sécurité des organisations et remédiant aux incidents par le biais d’une automatisation « par bouton-poussoir ».