L'année dernière, Check Point a lancé une technologie appelée « Brand Spoofing Prevention », un moteur préemptif intégré à ThreatCloud AI et conçu pour prévenir les attaques d'usurpation d'identité de marque. Cette technologie utilise des techniques avancées telles que l'IA, le traitement du langage naturel (NLP), le traitement des images et l'heuristique pour détecter et bloquer les tentatives d'usurpation d'identité en faisant correspondre les URL et les pages web avec des marques établies.
Pour rappel, un moteur préemptif en intelligence artificielle est une composante ou un système conçu pour anticiper, prioriser et gérer les tâches en fonction de leur importance ou urgence. Il se caractérise par sa capacité à interrompre ou réorganiser les processus en cours pour donner la priorité aux tâches les plus critiques.
Comment identifier les éléments de la marque ?
L'un des principaux défis dans la détection des scams d'usurpation de marque réside dans l'étiquetage des données nécessaires pour entraîner les modèles d'IA. Pour ce faire, il faut identifier les divers éléments distinctifs de la marque et comprendre les différences subtiles qui les différencient. La nature dynamique de la marque rend ce processus, déjà complexe et exigeant en main-d'œuvre, encore plus compliqué.
Pour résoudre le problème d'étiquetage des données, les chercheurs de Check Point ont eu recours à l'apprentissage non supervisé, qui associe automatiquement les caractéristiques des pages web aux marques. Cette approche réduit le besoin d’interventions humaines, permet de gagner du temps et de minimiser les erreurs dans l'identification des éléments de la marque.
DeepBrand Clustering, est en instance de brevet et comporte deux phases fonctionnelles : l'apprentissage et la sélection. En mode apprentissage, la solution constitue un réseau de neurones sur la base des éléments extraits des pages web identifiées et issues du trafic mondial de Check Point. Dans la phase sélection, DeepBrand Clustering dispose d’assez d’éléments pour alimenter un moteur de sélection avancé. Lors de la phase de sélection, le modèle d'inférence détermine si la page web analysée appartient à l'un des groupes prédéfinis. Le cas échéant, le moteur évalue si l'activité correspond à une tentative d'usurpation de marque malveillante.
Des réseaux de neurones profonds (DNN)
De plus, le réseau de neurones est entraîné sur du trafic non étiqueté, qui lui permet d'apprendre à identifier les marques automatiquement et sans supervision. Il s'appuie sur les caractéristiques communes des pages web, telles que le domaine, le favicon, le titre, et bien d'autres éléments. Pour entraîner ce modèle, Check Point a déployé un pipeline structuré en plusieurs étapes. Ces étapes consistent à extraire des indicateurs de marque et à affecter automatiquement les noms de marque à des groupes. D’autres étapes concernent la collecte d'indicateurs visuels ou de texte, tandis que certaines s'occupent de transformer les données.
Quelques composants de ce pipeline utilisent des réseaux de neurones profonds (DNN) entraînés avec des techniques avancées d'augmentation qui se basent sur des connaissances spécialisées issues des approches de cybersécurité. L'ensemble du processus aboutit à un modèle entraîné (prêt pour l'inférence) qui regroupe plusieurs ensembles distincts (voir image). Chacun est associé à une marque spécifique et étiquetée en conséquence. Ce modèle organise les pages Web en groupes qui correspondent à des marques particulières. Ces groupes, y compris ceux qui présentent les différences les plus marquées, sont utilisés pour analyser le trafic en temps réel et pour identifier la présence d'une marque.
Dans les heures qui ont suivi la phase d'apprentissage, DeepBrand a répertorié plus de 4 000 marques distinctes. Sur 30 jours, 75 % des marques répertoriées (3 700) ont été observées sur le trafic de Check Point. Sur le total des marques observées, plus de 200 marques uniques ont été usurpées dans plus de 4 000 attaques malveillantes. En somme, DeepBrand a détecté 975 occurrences de 101 marques.
