Ce n’est un secret pour personne : les applications et infrastructures modernes sont difficiles à sécuriser. L’adoption à grande échelle de l’intelligence artificielle (IA) offre à la fois la possibilité d’aggraver la situation (en raison de la nouvelle infrastructure qu’elle nécessite) et la possibilité d’améliorer la situation. Il s’agit d’un point à retenir de la conférence RSA de la semaine dernière à San Francisco, centrée sur l’informatique. Plus précisément, les discours d’ouverture, les multiples sessions et les nombreuses présentations de produits des fournisseurs lors de la conférence abordent ces questions.
Alors, quel est exactement le problème ? Le passage d’applications et de réseaux monolithiques sur site aux applications aujourd’hui distribuées et basées sur des microservices, exécutées dans des centres de données et sur plusieurs cloud publics et privés, a augmenté le nombre et les types de vulnérabilités et a donné aux acteurs malveillants davantage de moyens d’attaquer les entreprises.
Ces points ont été soulevés dans le «Sécuriser les applications modernes» Discours d’ouverture de Boaz Gelbord, vice-président principal et directeur de la sécurité chez Akamai. Il a souligné que l’entreprise moderne est complexe et exécute en moyenne plus de 1 061 applications.
« Nous dépendons d’applications pour gérer notre monde, mais elles ont également introduit des vulnérabilités qui se multiplient à mesure que nous devenons plus connectés », a déclaré Gelbord. « De plus, la montée en puissance des API, des robots et des nouvelles tactiques DDoS crée un paysage difficile. »
Il a utilisé Akamai comme exemple pour mettre en perspective l’ampleur du changement. « Nous recevons quotidiennement environ 11 000 milliards de requêtes DNS », a déclaré Gelbord. Il a noté que le grand nombre de requêtes quotidiennes est logique si l’on considère que des milliards de personnes dans le monde se connectent constamment aux applications et entre elles. Du point de vue de la sécurité, « l’une des choses intéressantes lorsque nous analysons ce trafic est que nous pouvons constater que pour de nombreuses organisations, la quantité de trafic dirigée vers des sites illégitimes peut dépasser celle dirigée vers des sites légitimes ». Ainsi, au quotidien, de nombreux utilisateurs cliquent sur des liens qui les dirigent vers des sites malveillants.
En outre, il a souligné que les attaquants se concentrent sur le Web comme moyen d’accéder aux organisations. À ce stade, Akamai constate une augmentation de 48 % des attaques Web d’une année sur l’autre. Vingt-neuf pour cent de ces attaques sont des attaques API (ce qui représente une augmentation de 109 % d’une année sur l’autre). Se défendre contre ces attaques est un défi car de nombreuses organisations ne savent même pas quelles API elles utilisent. Il est également plus difficile de sécuriser les API car la logique d’une API est souvent beaucoup plus complexe que celle d’une application Web.
Cela étant, il a souligné la nécessité pour les organisations d’adapter leurs stratégies de sécurité aux nouveaux défis. De plus en plus, cela signifie se concentrer sur une meilleure gestion des vulnérabilités, recourir davantage à l’analyse des risques et adopter des méthodologies Zero Trust pour prévenir et contenir les problèmes de sécurité.
Problèmes de sécurité avec les applications distribuées et les microservices
La plupart des applications modernes sont basées sur des microservices et des conteneurs. Les solutions et stratégies de sécurité traditionnelles n’ont pas suivi l’évolution des menaces dans ces domaines. C’était l’objectif de «Sécurité Kubernetes : attaque et défense des infrastructures modernes», une séance de Lenin Alevski Huerta Arias, ingénieur en sécurité chez Google, et Maximillian von Blankenburg, chercheur en sécurité chez Semgrep.
Ils ont suggéré aux équipes informatiques et de sécurité de se familiariser avec l’Open Worldwide Application Security Project (OWASP). Les dix principaux risques liés à Kubernetes liste pour se familiariser avec les principales menaces auxquelles les organisations doivent faire face. (OWASP est une fondation à but non lucratif qui travaille à améliorer la sécurité des logiciels.) Les techniques d’attaque les plus courantes incluent l’obtention d’un accès via des informations d’identification cloud compromises, des vulnérabilités d’applications, des injections side-car et des interfaces sensibles exposées. (Il y a encore ces API.)
Les intervenants ont ensuite discuté de certaines techniques d’atténuation et des meilleures pratiques pour sécuriser Kubernetes, notamment l’application de restrictions sur les conteneurs, l’amélioration des politiques réseau et l’utilisation du chiffrement, du contrôle d’accès et du renforcement des composants du plan de contrôle.
Comment l’IA peut blesser et aider
Comme indiqué ci-dessus, l’IA est une arme à double tranchant en matière de cybersécurité. Ce point a été développé lors de la séance “Le moment est venu : redéfinir la sécurité à l’ère de l’IA.»
Au cours de la session, Jeetu Patel, vice-président exécutif et directeur général de la sécurité chez Cisco, a expliqué comment l’IA modifie fondamentalement l’infrastructure et les menaces de sécurité. « La capacité pour nous d’augmenter les capacités humaines [with AI] va être si profond et se développer à des proportions si différentes de ce que nous avons vu auparavant », a déclaré Patel. « Supposons que votre équipe compte 20 développeurs, étendre cette capacité à une centaine grâce à des travailleurs numériques ne sera pas difficile à réaliser et sera très plausible. Si vous disposez de 40 représentants du service client, vous pouvez étendre la capacité à 250. »
Il a poursuivi en notant qu’à l’avenir, lorsqu’une personne rejoindra une entreprise, elle pourrait se voir attribuer huit ou dix assistants virtuels, dont un assistant personnel, un assistant RH, un coach, une sorte d’assistant de santé, un planificateur financier, etc. . “Ce que cela va faire, c’est que cela va donner à ce monde de 8 milliards d’habitants l’impression qu’il a la capacité et le débit de 80 milliards de personnes.”
Pour prendre en charge (et exécuter) ces assistants d’IA, les centres de données et l’infrastructure sous-jacente devront être fondamentalement repensés pour s’adapter à ces charges de travail d’IA et à ces travailleurs numériques supplémentaires.
Cela introduit de nouveaux problèmes de sécurité. “Avec ce changement d’application et d’infrastructure, il y a un certain nombre de choses qui restent très difficiles”, a-t-il déclaré. À savoir, sécuriser les applications et l’infrastructure devient plus difficile qu’il ne l’est déjà.
Il voit trois technologies utiles. Il s’agit de l’IA, de la visibilité au niveau du noyau et de l’accélération matérielle. L’IA doit être utilisée de manière native pour la défense au sein de l’infrastructure centrale d’une organisation. Cisco et d’autres ont déjà commencé à le faire avec des offres assistées par l’IA pour aborder la complexité et transformer la gestion du réseau et le suivi.
Le deuxième domaine, la visibilité au niveau du noyau, est important car « vous ne pouvez pas protéger ce contre quoi vous n’avez pas de visibilité », a-t-il déclaré. Il pense qu’il s’agit d’un domaine dans lequel la technologie eBPF va devenir une technologie essentielle. (eBPF est une technologie qui peut exécuter des programmes dans un contexte privilégié tel que le noyau du système d’exploitation.) Elle permet aux organisations d’examiner le serveur et le système d’exploitation et de voir ce qui se passe.
En ce qui concerne l’accélération matérielle, il voit des choses comme DPU (unités de traitement de données) offrant une accélération massive des opérations de sécurité et des opérations d’E/S. Avec les DPU, la gestion des connexions et le chiffrement peuvent être effectués mille fois plus rapidement que ce qui aurait pu être fait auparavant.
Un dernier mot sur RSA d’un point de vue informatique
En complément des discussions de haut niveau lors du discours d’ouverture et des sessions, de nombreux fournisseurs ont présenté des produits et services de sécurité informatique avec un aspect IA. Voici une liste de certaines des annonces pertinentes pour les responsables informatiques (REMARQUE : ceci n’est pas destiné à être une liste complète de toutes les annonces de la conférence):
ArmorCode a annoncé la disponibilité générale de AI Correlation dans sa plateforme ArmorCode Application Security Posture Management (ASPM).
Cisco a annoncé une nouvelle appliance virtuelle pour son offre d’observabilité d’applications AppDynamics On-Premises, permettant aux utilisateurs de profiter de l’intelligence basée sur l’IA pour la détection des anomalies, l’analyse des causes profondes et la sécurité des applications.
Dynatrace a annoncé de nouvelles fonctionnalités Kubernetes Security Posture Management (KSPM) pour sa plateforme de surveillance de la sécurité, de la configuration et de la conformité.
Elastic a annoncé que Search AI remplacerait le SIEM traditionnel par une solution d’analyse de sécurité basée sur l’IA.
Lumu a lancé Lumu Autopilot, une technologie en instance de brevet pour aider les organisations à gérer les incidents de sécurité détectés par Lumu. L’outil surveille, coupe le son, ferme ou intensifie les attaques de sécurité de manière autonome et en temps réel.
Mezmo a annoncé de nouvelles fonctionnalités qui aident les entreprises à comprendre, optimiser et répondre plus rapidement à leurs données de télémétrie.
Riverbed a introduit une plateforme d’observabilité basée sur l’IA.
Splunk a annoncé Splunk Asset and Risk Intelligence, une solution conçue pour aider les organisations à adopter une approche plus proactive en matière de sécurité et d’atténuation des risques.
StarTree a annoncé de nouvelles capacités d’observabilité et de détection d’anomalies dans StarTree Cloud.
Sumo Logic a annoncé de nouvelles capacités d’IA et d’analyse de sécurité dans son offre.
Vectra AI a annoncé l’intégration de Vectra AI Attack Signal Intelligence avec CrowdStrike Falcon Next Gen SIEM.
Bon nombre de ces annonces incluaient l’utilisation de l’IA pour améliorer l’analyse des menaces et aider les systèmes SIEM (gestion des informations et des événements de sécurité) traditionnels à mieux comprendre le flot d’alertes, de journaux et bien plus encore sur lesquels ils s’appuient pour protéger les réseaux et alerter les équipes de sécurité des problèmes. dans la fabrication.