211service.com
La forme rare d'apprentissage automatique qui peut repérer les pirates qui ont déjà pénétré par effraction
Image de l'interface de la plate-forme informatique Darktrace. Trace sombre
En 2013, un groupe d'agents du renseignement britannique a remarqué quelque chose d'étrange. Alors que la plupart des efforts pour sécuriser l'infrastructure numérique visaient à empêcher les méchants d'entrer, peu se concentraient sur l'inverse : les empêcher de divulguer des informations. Sur la base de cette idée, le groupe a fondé une nouvelle société de cybersécurité appelée Darktrace.
L'entreprise s'est associée à des mathématiciens de l'Université de Cambridge pour développer un outil qui utiliserait l'apprentissage automatique pour détecter les violations internes. Plutôt que de former les algorithmes sur des exemples historiques d'attaques, cependant, ils avaient besoin d'un moyen pour que le système reconnaisse de nouvelles instances de comportement anormal. Ils se sont tournés vers l'apprentissage non supervisé, une technique basée sur un type rare d'algorithme d'apprentissage automatique qui n'exige pas que les humains spécifient ce qu'il faut rechercher.

Darktrace s'est concentré sur un appareil infecté présentant un comportement anormal. Trace sombre
'Cela ressemble beaucoup au système immunitaire du corps humain', déclare la co-PDG de la société, Nicole Eagan. «Aussi complexe soit-il, il a ce sens inné de ce qui est soi et non soi. Et quand il trouve quelque chose qui n'appartient pas à lui-même, il a une réponse extrêmement précise et rapide.
La grande majorité des applications d'apprentissage automatique reposent sur l'apprentissage supervisé. Cela implique d'alimenter une machine en quantités massives de données soigneusement étiquetées pour l'entraîner à reconnaître un modèle étroitement défini. Supposons que vous souhaitiez que votre machine reconnaisse les golden retrievers. Vous lui fournissez des centaines ou des milliers d'images de golden retrievers et de choses qui ne le sont pas, tout en lui disant explicitement lesquelles sont lesquelles. Finalement, vous vous retrouvez avec une machine de repérage de golden retriever assez décente.
En cybersécurité, l'apprentissage supervisé fonctionne plutôt bien. Vous entraînez une machine sur les différents types de menaces auxquelles votre système a été confronté auparavant, et elle les poursuit sans relâche.
Mais il y a deux problèmes principaux. D'une part, cela ne fonctionne qu'avec les menaces connues ; des menaces inconnues se faufilent encore sous le radar. D'autre part, les algorithmes d'apprentissage supervisé fonctionnent mieux avec des ensembles de données équilibrés, c'est-à-dire ceux qui ont un nombre égal d'exemples de ce qu'ils recherchent et de ce qu'ils peuvent ignorer. Les données de cybersécurité sont très déséquilibrées : il existe très peu d'exemples de comportements menaçants enfouis dans une quantité écrasante de comportements normaux.

Une visualisation de toutes les connexions au sein d'un sous-réseau particulier. Trace sombre
Heureusement, là où l'apprentissage supervisé faiblit, l'apprentissage non supervisé excelle. Ce dernier peut examiner des quantités massives de données non étiquetées et trouver les pièces qui ne suivent pas le modèle typique. Par conséquent, il peut faire apparaître des menaces qu'un système n'a jamais vues auparavant et nécessite peu de points de données anormaux pour le faire.
Lorsque Darktrace déploie son logiciel, il met en place des capteurs physiques et numériques autour du réseau du client pour cartographier son activité. Ces données brutes sont acheminées vers plus de 60 algorithmes d'apprentissage non supervisés différents qui se font concurrence pour trouver un comportement anormal.
UN ESPACE NON SURVEILLÉ
-
Plusieurs autres entreprises ont également convergé vers l'utilisation de l'apprentissage non supervisé pour renforcer les systèmes de sécurité numérique.
Sécurité de la forme
Fondée en 2011 par d'anciens experts de la défense du Pentagone, elle se concentre sur la prévention de la création de faux comptes ou de la fraude aux demandes de crédit, entre autres activités néfastes. Shape Security combine les atouts complémentaires des techniques supervisées et non supervisées.
DataVisor
Fondée en 2013 par des anciens de Microsoft, elle s'associe à des banques, des médias sociaux et des entreprises de commerce électronique pour lutter contre la fraude aux transactions, le blanchiment d'argent et d'autres abus à grande échelle. DataVisor dit qu'il utilise principalement des techniques non supervisées.
Ces algorithmes crachent ensuite leur sortie dans un autre algorithme maître qui utilise diverses méthodes statistiques pour déterminer lequel des 60 écouter et lequel ignorer. Toute cette complexité est regroupée dans une visualisation finale qui permet aux opérateurs humains de voir et de répondre rapidement aux violations probables. Pendant que les humains déterminent ce qu'il faut faire ensuite, le système s'efforce de mettre la violation en quarantaine jusqu'à ce qu'elle soit résolue, en coupant par exemple toutes les communications externes de l'appareil infecté.
Cependant, l'apprentissage non supervisé n'est pas une solution miracle. À mesure que les attaquants deviennent de plus en plus sophistiqués, ils parviennent mieux à tromper les machines, quel que soit le type d'apprentissage automatique qu'ils utilisent. 'Il y a ce jeu du chat et de la souris où les attaquants peuvent essayer de changer leur comportement', explique Dawn Song, experte en cybersécurité et en apprentissage automatique à l'Université de Californie à Berkeley.
En réponse, la communauté de la cybersécurité s'est tournée vers des approches proactives – « de meilleures architectures et principes de sécurité afin que le système soit plus sécurisé par construction », dit-elle. Mais il reste encore un long chemin à parcourir pour éradiquer complètement toutes les violations et pratiques frauduleuses. Après tout, ajoute-t-elle, 'l'ensemble du système est aussi sûr que son maillon le plus faible'.