Le modèle d’IA peut plus facilement filtrer les activités malveillantes dans la télémétrie XDR, améliorer l’efficacité des filtres antispam et simplifier l’analyse des binaires LotL

Paris — mars 16, 2023 —

Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie une nouvelle étude indiquant comment le secteur de la cybersécurité peut exploiter GPT-3, le modèle linguistique sur lequel repose l’intelligence artificielle ChatGPT, comme copilote pour contribuer à déjouer les cyberattaques. L’étude, intitulée Applying AI Language Processing to Cyber Defenses, détaille les projets développés par Sophos X-Ops au moyen des vastes modèles linguistiques de GPT-3 afin de simplifier la recherche des activités malveillantes dans les ensembles de données des logiciels de sécurité, de filtrer plus efficacement les spams et d’accélérer l’analyse des attaques par binaires LotL (Living off the Land).

« Depuis qu’OpenAI a dévoilé ChatGPT en novembre dernier, la communauté de la sécurité s’est largement focalisée sur les risques que pourrait susciter cette nouvelle technologie. L’IA peut-elle aider les cyberattaquants en puissance à créer des malwares ou les cyberescrocs à rédiger des e-mails de phishing bien plus crédibles ? Peut-être bien, mais, chez Sophos, nous voyons depuis longtemps dans l’IA un allié plutôt qu’un ennemi des équipes de cyberdéfense, faisant de celle-ci la clé de voûte de nos technologies, et GPT-3 n’y fait pas exception. La communauté de la sécurité doit être attentive non seulement aux risques éventuels, mais aussi aux opportunités potentielles qu’offre GPT-3 », souligne Sean Gallagher, chercheur principal en menaces chez Sophos.

Les chercheurs de Sophos X-Ops, parmi lesquels le Principal Data Scientist Younghoo Lee de SophosAI, travaillent actuellement sur trois prototypes visant à démontrer le potentiel de GPT-3 en tant qu’assistant des équipes de cyberdéfense. Tous trois s’appuient sur une technique appelée few-shot learning (FSL) pour entraîner le modèle d’IA avec un nombre restreint d’échantillons, réduisant ainsi le besoin de collecter un volume important de données préclassifiées.

La première application testée par Sophos avec la méthode FSL porte sur une interface d’interrogation en langage naturel destinée à filtrer les activités malveillantes dans la télémétrie des logiciels de sécurité, plus précisément par rapport à son produit EDR (Endpoint Detection & Response). Cette interface permet aux équipes de cyberdéfense d’explorer les données télémétriques à l’aide de commandes élémentaires en anglais courant, ce qui leur évite d’avoir à maîtriser le langage SQL ou la structure sous-jacente d’une base de données.

Ensuite, Sophos a testé un nouveau filtre antispam faisant appel à ChatGPT et constaté que, comparé à d’autres modèles de Machine Learning employés à cette fin, le filtre utilisant GPT-3 s’est avéré nettement plus fiable. Enfin, les chercheurs de Sophos sont parvenus à créer un programme qui simplifie le processus de rétro-ingénierie des lignes de commande des binaires LotL. Si cette rétro-ingénierie n’est pas notoirement difficile, elle n’en est pas moins critique pour comprendre le comportement de ces binaires et mettre un terme à ces types d’attaques à l’avenir.

« L’un des soucis grandissants au sein des centres de sécurité opérationnelle tient au volume même du “bruit” à l’entrée. Il y a simplement trop de notifications et de détections à trier, alors que de nombreuses entreprises ne disposent que de ressources limitées. Nous avons fait la preuve que, avec un outil tel que GPT-3, nous pouvons simplifier certains processus nécessitant énormément de main-d’œuvre et libérer un temps précieux pour les équipes de cyberdéfense. Nous travaillons déjà sur l’intégration de certains des prototypes ci-dessus dans nos produits et nous avons mis les résultats de nos travaux sur notre référentiel GitHub, à la disposition des personnes intéressées pour tester GPT-3 dans leur propre environnement d’analyse. À l’avenir, nous pensons que GPT-3 pourrait très bien s’affirmer comme un copilote courant des experts en sécurité », conclut Sean Gallagher.

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents (IR), ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.