En faisant preuve de transparence et d’ouverture, SophosAI fait avancer les pratiques et libère le langage

Paris — décembre 18, 2020 —

Sophos, leader mondial de la cybersécurité Next-Gen, annonce quatre nouveaux développements d’Intelligence artificielle (IA) pour élargir et à affiner les défenses contre les cyberattaques. Car si le partage de méthodologies et de découvertes en matière d’IA est une pratique courante dans d’autres secteurs, la cybersécurité a pris du retard dans ce domaine, ce qui a pour conséquence une mécompréhension de la manière dont l’IA permet réellement de protéger contre les cybermenaces. Ainsi les nouveaux outils, les datasets et les méthodologies conçus par Sophos visent à améliorer la collaboration dans le secteur et l’innovation cumulative. L’annonce de ces développements correspond au souhait de Sophos de rendre publiques ses découvertes en matière de data science et de rendre ainsi l’utilisation de l’IA en matière de cybersécurité plus transparente tout en renforçant la protection des entreprises contre toutes formes de cybercrimes.

Ces développements interviennent dans les quatre domaines essentiels suivants :

Le dataset SOREL-20M pour accélérer la recherche de la détection des malwares

SOREL-20M, un projet mené conjointement par SophosAI et ReversingLabs, est un dataset à l’échelle de la production contenant des métadonnées, des étiquettes et des caractéristiques pour 20 millions de fichiers Portable Executable (PE) Windows. Il inclut 10 millions d’échantillons de malwares désamorcés et téléchargeables afin de faire des recherches sur l’extraction des caractéristiques et d’accélérer les améliorations en matière de sécurité. Il s’agit du premier dataset de recherches sur les malwares à l’échelle de la production rendu disponible au grand public qui contient un ensemble d’échantillons étiquetés et organisés et des métadonnées pertinentes pour la sécurité.

Une méthode de protection contre l’usurpation d’identité alimentée par l’IA

La protection contre l’usurpation d’identité de SophosAI est conçue pour protéger contre les attaques de spearphishing par e-mail, au cours desquelles l’identité de personnes influentes est usurpée afin d’inciter les destinataires à entreprendre des actions néfastes. Cette nouvelle protection compare le nom affiché dans les e-mails entrants avec les titres des dirigeants haut placés – ceux qui sont le plus susceptibles de voir leur identité usurpée dans un attaque de spearphishing, comme les PDG, les directeurs financiers et les présidents, qui sont spécifiques à certaines entreprises et signalent ces messages lorsqu’ils semblent suspects. Sophos a entrainé l’IA qui œuvre en coulisses à partir d’un vaste échantillon contenant de millions d’e-mails d’attaques connus.

L’épidémiologie numérique afin de déterminer la quantité de malwares non détectés

SophosAI a également bâti un ensemble de modèles statistiques inspirés de l’épidémiologie pour estimer la prévalence des infections par malwares dans son ensemble, ce qui permet à Sophos d’estimer la quantité – et de trouver – les « aiguilles dans une botte » de fichiers PE. SophosAI a été l’une des premières à utiliser et à rendre publiquement disponible cette méthode qui permet d’estimer l’étendue de la « matière noire » malveillante ou de déterminer la quantité de malwares manqués ou mal classifiés et de « malwares futurs » que sont en train de développer les attaquants. Le modèle est conçu pour une extension à d’autres classes de fichiers et d’artefacts issus des systèmes d’informations.

Les outils de génération de signature automatique YaraML

La génération de signatures pour la détection des familles de malwares est un processus manuel laborieux. Au fil des ans, les chercheurs ont proposé une grande variété de méthodes de génération de signature automatique dont la plupart n’ont pas été adoptées, car elles étaient moins performantes que les méthodes manuelles. SophosAI a développé une nouvelle méthode de génération de signature automatique appelée YaraML, radicalement différente des options précédentes, car elle adresse le problème en se fondant sur l’IA. SophosAI « compile » directement des modèles de machine learning aboutis et de force industrielle, du même type que ceux utilisées dans les produits de sécurité commerciaux, au sein de langages de signature, permettant ainsi à l’IA « d’écrire » les signatures. Cette méthode se révèle bien plus efficace que les approches précédentes et représente une avancée pour la communauté de la sécurité. SophosAI a rendu YaraML disponible en open source.

A cette occasion, Joe Levy, Chief Technology Officer chez Sophos déclare « Sophos et SophosIA, son équipe de data scientists, souhaitent devenir les catalyseurs de l’ouverture et de la transparence, pour que les décisionnaires IT, les analystes spécialistes de la sécurité, les directeurs financiers, les PDG et les autres acteurs qui achètent des solutions ou prennent des décisions concernant la sécurité puissent discuter et évaluer les avantages de l’IA en disposant d’informations équivalentes et fiables. »

SophosAI fonctionne à la manière d’un incubateur de start-ups, tout en disposant des ressources intellectuelles d’une entreprise dont la valeur approche le milliard de dollars et qui compte plusieurs milliers de clients. Elle bénéficie notamment des enseignements du SophosLabs et de Sophos Managed Threat Response. Enfin, les avancées de SophosAI peuvent également être intégrées directement au sein des nouveaux produits. Ce modèle permet à Sophos de répondre rapidement aux besoins du marché, de prédire la direction que le secteur doit prendre et de faire avancer l’esprit d’ouverture pour améliorer la collaboration et l’innovation dans le domaine de la cybersécurité, tous ces éléments étant essentiels au développement de défenses contre des adversaires qui évoluent rapidement.

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents (IR), ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.