IA IPS : 6 cas d'utilisation concrets et outils phares

Les systèmes de prévention des intrusions ( IPS ) basés sur l'IA utilisent des algorithmes d'apprentissage automatique et l'analyse comportementale pour détecter et prévenir diverses cybermenaces. L'IA peut renforcer les capacités des IPS traditionnels en permettant une détection plus rapide, plus adaptable et plus économique, notamment pour les organisations aux ressources limitées. ¹

Découvrez des cas d'utilisation de l'IA IPS avec des exemples concrets et les 4 meilleurs outils IA IPS :

Cas d'utilisation de l'IA IPS

L'IA IPS peut :

• Identifier de manière proactive les menaces potentielles en analysant les tendances.
• Automatisez les actions de réponse aux menaces, telles que l'isolation des terminaux compromis.
• Améliorer la précision en utilisant l'analyse contextuelle et l'apprentissage automatique pour réduire les faux positifs.

1. Réponse automatisée au phishing

Le système de prévention des intrusions par IA surveille en permanence les boîtes de réception afin de détecter toute tentative d'hameçonnage ou tout courriel suspect. Après avoir détecté un courriel potentiellement malveillant, il peut fournir à l'analyste des informations exploitables relatives aux tentatives d'hameçonnage, notamment :

• L'utilisateur qui a signalé le courriel frauduleux.
• L'utilisateur qui a envoyé l'e-mail.
• Les indicateurs de compromission (IOC) tels que l'URL, l'adresse IP et le nom de domaine.

Sur la base de cette analyse, le système IPS IA peut prendre des mesures immédiates, notamment :

• Isolation des terminaux affectés : Si un terminal est suspecté d’être compromis, le système IPS IA isole le périphérique du réseau afin de contenir toute menace potentielle.
• Suppression des courriels malveillants : Suppression automatique des courriels d’hameçonnage détectés dans les boîtes de réception des utilisateurs, empêchant ainsi toute exposition ultérieure.

Par exemple, le système IPS de Cato utilise un moteur d'inspection basé sur l'IA pour analyser les domaines réseau, fournissant ainsi aux équipes de sécurité des informations détaillées sur les tentatives d'hameçonnage. Il détecte les algorithmes de génération de domaines (DGA) utilisés par les attaquants pour empêcher l'enregistrement d'un domaine par des tiers. ²

2. Surveillance de la sécurité du réseau

Les solutions IPS basées sur l'IA surveillent le trafic réseau afin de détecter et de prévenir les menaces telles que les logiciels malveillants, les ransomwares, le phishing et les attaques par déni de service distribué (DDoS).

Par exemple, Splunk ou Vectra.ai utilisent des algorithmes d'IA qui traitent de grands volumes de données collectées sur différents nœuds du réseau. Cela permet une surveillance continue, permettant à ces systèmes de détecter et de contrer les menaces à la sécurité du réseau en temps réel. ³

Exemple concret

Une grande société immobilière utilise une surveillance réseau basée sur l'IA pour détecter les menaces sur l'ensemble de ses réseaux cloud, de centres de données, informatiques et IoT.

Après le déploiement d'une solution IPS basée sur l'IA, l'entreprise a bénéficié d'informations contextuelles et d'analyses en temps réel sur les comportements des menaces, réduisant ainsi le nombre d'alertes. Avec seulement 2 à 3 alertes exploitables par jour, l'équipe de sécurité a pu se concentrer sur les incidents prioritaires. ⁴

3. Détection et atténuation des logiciels de rançon

Le système IPS IA détecte les activités de chiffrement inhabituelles ou la propagation rapide de fichiers malveillants sur le réseau, isolant automatiquement les appareils infectés pour empêcher les ransomwares de chiffrer les dossiers médicaux critiques.

Exemple concret

Omada Health, une entreprise de santé numérique basée en Californie, a mis en œuvre un système IPS basé sur l'IA pour protéger les données sensibles des patients contre les attaques de ransomware.

En déployant son système de prévention des intrusions par intelligence artificielle (IA IPS), Omada Health a renforcé sa capacité à détecter précocement les attaques de ransomware, à isoler les systèmes affectés et à minimiser les risques de perte ou de chiffrement des données. Cette défense proactive a contribué à préserver l'intégrité des données des patients. ⁵

4. Sécurisation des systèmes de contrôle industriels

Le système IPS basé sur l'IA détecte et bloque les tentatives d'exploitation des vulnérabilités des protocoles industriels, garantissant ainsi l'intégrité et la disponibilité des composants d'infrastructure critiques.

Exemple concret

Corix, une entreprise de services publics, a utilisé un système de prévention des intrusions (IPS) basé sur l'intelligence artificielle pour protéger ses systèmes de contrôle industriel (ICS) contre les cybermenaces. Corix :

• Détecte les tendances inhabituelles dans les flux de données
• Blocks tentatives des attaquants de se déplacer au sein du réseau ICS.
• Met en œuvre des mesures de protection en temps réel, telles que l'isolement des appareils infectés. ⁶

5. Détection et prévention des menaces persistantes avancées (APT)

Une menace persistante avancée (APT) est une cyberattaque furtive (par exemple, le vol d'informations confidentielles) dans laquelle un intrus accède à un réseau et reste indétecté pendant une période prolongée.

En agrégeant les données provenant des réseaux, des terminaux, du cloud et des environnements applicatifs, le système IPS IA peut détecter les menaces persistantes avancées (APT).

Le système IPS basé sur l'IA surveille en continu les activités inhabituelles ou les déplacements latéraux, indicateurs courants des APT. En cas de détection d'un tel comportement, il peut intervenir immédiatement, par exemple en bloquant le trafic suspect et en isolant les terminaux compromis.

Par exemple, la plateforme d'IA de Vectra utilise des détections automatisées basées sur l'IA, axées sur les techniques déployées par les APT pour se déplacer latéralement à travers les réseaux d'identité, de cloud public, de SaaS et de centres de données. ⁷

6. Intégrations automatisées

L'IA IPS collabore avec les systèmes de sécurité existants pour renforcer la détection des menaces en utilisant des intergiciels ou des API afin de faciliter la communication et l'échange de données entre les différents systèmes. Cela permet aux analystes de gérer les menaces sans avoir recours à des scripts et d'effectuer des actions correctives telles que la mise en quarantaine du réseau ou l'application automatisée de politiques dans les environnements cloud.

Principaux outils IPS avec prise en charge de l'IA

Les fournisseurs de systèmes IPS incluent à la fois des appliances matérielles et plusieurs types de solutions logicielles, ainsi que des technologies open source et commerciales.

Outils IPS commerciaux :

• Cisco intègre la protection IPS à ses pare-feu, notamment dans des produits comme Cisco Secure IPS, qui utilise des algorithmes de détection des fichiers et comportements malveillants. En analysant le trafic réseau et le comportement du système, Cisco Secure IPS peut détecter les schémas suspects, tels que les comportements inhabituels des fichiers ou les tentatives d'accès non autorisé.
  
• Palo Alto Networks intègre des composants IPS dans ses produits de protection contre les menaces, qui utilisent l'analyse du trafic réseau basée sur l'IA pour fournir une analyse approfondie des modèles et des anomalies du réseau.

Outils IPS open source :

• Certains fournisseurs de services IPS remplissent cette fonction de sécurité en utilisant la détection et la réponse étendues (XDR) et la protection des terminaux. ⁸ Par exemple, Atomic OSSEC combine des centaines de règles OSSEC supplémentaires avec les règles du pare-feu d'application Web ModSecurity pour former une solution unique de détection et de réponse étendues (XDR).
  
• Certains outils IPS open source, comme Suricata, se concentrent sur la détection des attaques à l'aide de signatures prédéfinies. Cependant, Suricata propose également des intégrations de frameworks d'IA capables de générer automatiquement de nouvelles signatures en fonction de l'évolution des schémas d'attaque.

Une étude comparative montre que l'association d'outils IDS/IPS open source tels que Snort et Suricata avec des modèles d'apprentissage automatique peut améliorer la détection des menaces et l'analyse des journaux. Parmi les modèles testés, Random Forest et Decision Tree ont obtenu les meilleurs résultats en termes de précision et de rapidité, tandis que la régression logistique s'est avérée moins performante sur les grands ensembles de données. ⁹

Pour plus de détails, consultez notre article sur les meilleures solutions IDS/IPS et les alternatives open source .

Pourquoi les équipes SOC devraient-elles utiliser l'IA IPS ?

L'IA IPS améliore l'efficacité du SOC, réduit la charge de travail et garantit une détection et une atténuation efficaces des menaces. L'IA IPS peut :

• Réduisez le bruit et concentrez-vous sur les alertes clés : Réduisez le bruit en filtrant et en priorisant les alertes exploitables, permettant ainsi aux analystes de se concentrer sur les menaces potentielles les plus importantes.
• Rationalisez la détection et la réponse aux menaces : permettez aux équipes SOC de détecter, de contrer et de neutraliser les menaces sur de multiples canaux d’attaque, notamment la messagerie électronique, les terminaux, les réseaux et le cloud. Ceci contribue à éliminer les pertes de temps liées au passage d’une solution à l’autre.
• Automatisez les tâches chronophages : automatisez les tâches répétitives mais essentielles et libérez les analystes pour qu'ils se concentrent sur les enquêtes complexes, améliorant ainsi la productivité globale du SOC et les temps de réponse.
• Simplifier les investigations et les réponses : codifier les procédures d'investigation et de réponse, en guidant les équipes SOC à travers des processus standardisés et en permettant même à un analyste moins expérimenté d'agir facilement pour stopper une attaque.

Cette stratégie proactive permet également à ces systèmes d'avoir une précision de classification plus élevée afin de détecter des schémas auparavant inconnus et des vulnérabilités zero-day.

Découvrez la précision de classification des systèmes de détection d'intrusion basés sur l'IA utilisant l'apprentissage automatique et l'apprentissage profond :

Source: ¹⁰

Notez que les systèmes IPS basés sur l'IA sont moins précis face aux nouvelles attaques qui ne présentent pas de signatures historiques ou de schémas comportementaux, et à celles qui utilisent un chiffrement lourd pour masquer leurs actions.

Méthodes de prévention des menaces par IA IPS

Lorsqu'un système de prévention d'intrusion (IPS) identifie une menace, il enregistre l'événement et l'envoie au centre opérationnel de sécurité (SOC), généralement via un outil de gestion des informations et des événements de sécurité ( SIEM ). Le SOC prend ensuite automatiquement des mesures pour contrer la menace, notamment :

• Block Gestion du trafic à risque : Un système de prévention d'intrusion (IPS) basé sur l'IA peut filtrer les activités malveillantes avant qu'elles n'atteignent d'autres dispositifs ou contrôles de sécurité. Certains IPS peuvent rediriger le trafic vers un pot de miel, un leurre destiné à faire croire aux attaquants qu'ils ont réussi alors qu'en réalité, le centre opérationnel de sécurité (SOC) les surveille.
• Suppression des contenus à risque : un système IPS basé sur l’IA peut permettre la poursuite des communications tout en filtrant les informations à risque, par exemple en éliminant les paquets malveillants ou en supprimant les fichiers malveillants d’un courriel.
• Activation d'autres dispositifs de sécurité : un système IPS basé sur l'IA peut mettre à jour les règles du pare-feu pour stopper une menace ou modifier les paramètres du routeur pour activer d'autres dispositifs de sécurité.
• Application des politiques de sécurité : Certains systèmes de prévention d’intrusion basés sur l’IA peuvent empêcher les attaquants et les utilisateurs non autorisés de violer les politiques de sécurité de l’entreprise. Par exemple, si un utilisateur tente de transférer des informations sensibles depuis une base de données où cela est interdit, le système de prévention d’intrusion le bloquera.

En quoi un IPS diffère-t-il d'un IDS ?

Source : Étude comparative des modèles d'IA dans les systèmes IDS/IPS open source ¹¹

La fonction principale d'un système de détection d'intrusion (IDS) est d'identifier les menaces et d'envoyer des alertes. Ces systèmes sont essentiels pour la surveillance en temps réel des systèmes de contrôle, qui doivent fonctionner en continu et avec une haute disponibilité.

Un système de prévention des intrusions (IPS) va plus loin en prenant des mesures proactives et en temps réel pour empêcher ces menaces d'affecter le réseau ou l'infrastructure informatique. Cette réactivité permet de minimiser la propagation des logiciels malveillants au sein d'un réseau et de prévenir les violations de données.

Pour en savoir plus

• Solutions de gestion des politiques de sécurité réseau
• Outils de microsegmentation

Liens de référence

1.

A Comparative Study of AI Models in Open Source IDS IPS | Embedded Selforganising Systems

2.

Intrusion Prevention System (IPS) | Cato Networks

Cato Networks

3.

What is an Intrusion Prevention System (IPS)? | IBM

IBM

4.

Une grande société immobilière remplace son système IDS/IPS par une détection et une réponse réseau pilotées par l'IA

5.

Case Study: Intrusion Prevention, Detection in the Cloud

6.

How IPS is Used by AB Bank, Omada Health, Corix, City of Bryan, and Cisco Data Centers: Case Studies | Datamation

Datamation

7.

Protect against APT attacks | Vectra AI

8.

What is XDR? Extended Detection and Response Security | Fortinet

9.

A Comparative Study of AI Models in Open Source IDS IPS | Embedded Selforganising Systems

10.

ScienceDirect

11.

A Comparative Study of AI Models in Open Source IDS IPS | Embedded Selforganising Systems

Cem Dilmegani

Analyste principal

Suivre

Cem est analyste principal chez AIMultiple depuis 2017. AIMultiple informe chaque mois des centaines de milliers d'entreprises (selon similarWeb), dont 55 % des entreprises du classement Fortune 500. Les travaux de Cem ont été cités par des publications internationales de premier plan telles que Business Insider, Forbes et le Washington Post, ainsi que par des entreprises mondiales comme Deloitte et HPE, des ONG comme le Forum économique mondial et des organisations supranationales comme la Commission européenne. Vous trouverez d'autres entreprises et ressources réputées ayant fait référence à AIMultiple. Tout au long de sa carrière, Cem a exercé les fonctions de consultant, d'acheteur et d'entrepreneur dans le secteur des technologies. Il a conseillé des entreprises sur leurs décisions technologiques chez McKinsey & Company et Altman Solon pendant plus de dix ans. Il a également publié un rapport McKinsey sur la numérisation. Il a dirigé la stratégie technologique et les achats d'un opérateur télécom, sous la responsabilité directe du PDG. Il a également piloté la croissance commerciale de la société de deep tech Hypatos, qui a atteint un chiffre d'affaires annuel récurrent à sept chiffres et une valorisation à neuf chiffres en seulement deux ans. Les travaux de Cem chez Hypatos ont été présentés dans des publications technologiques de référence telles que TechCrunch et Business Insider. Cem intervient régulièrement lors de conférences internationales sur les technologies. Diplômé en génie informatique de l'université de Bogazici, il est également titulaire d'un MBA de la Columbia Business School.

Voir le profil complet

Soyez le premier à commenter

Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires.

Nom

Adresse email

Commentaire

0/450

Publier un commentaire