L'IA générative a captivé l'imagination du monde entier grâce à sa capacité à créer de la poésie, des scénarios ou des visuels. Ces outils peuvent être utilisés pour améliorer la productivité humaine, avec l'objectif de servir des causes légitimes, mais ils peuvent également être utilisés par des acteurs malveillants pour lancer des attaques sophistiquées.
Nous assistons à des attaques par phishing et par ingénierie sociale toujours plus sophistiquées, tandis que les acteurs malveillants utilisent de nouveaux outils puissants pour générer des contenus crédibles ou convaincre des interlocuteurs humains qu'ils échangent avec une personne réelle. Les acteurs malveillants peuvent utiliser l'IA pour développer des outils spécialisés, destinés à attaquer des sites spécifiques dans le but d'en extraire des données propriétaires et de prendre le contrôle de comptes d'utilisateurs.
Pour offrir une protection contre ces nouveaux défis, nous avons besoin d'outils de sécurité nouveaux et plus sophistiqués : c'est ainsi qu'est née la solution Defensive AI. Defensive AI est le cadre employé par Cloudflare pour réfléchir à la manière dont les systèmes intelligents peuvent améliorer l'efficacité de nos solutions de sécurité. La clé de la solution Defensive AI réside dans les données générées par le vaste réseau de Cloudflare, qu'il s'agisse de données générales, sur l'ensemble de notre réseau, ou de données spécifiques au trafic d'un client particulier.
Chez Cloudflare, nous utilisons l'IA pour renforcer la protection dans tous les domaines de la sécurité, de la sécurité des applications à la sécurité des e-mails et à notre plateforme Zero Trust. Cette démarche inclut le déploiement d'une protection personnalisée pour chaque client, afin d'assurer la sécurité des API ou des e-mails, mais également l'utilisation de notre immense volume de données sur les attaques pour former des modèles permettant de détecter des attaques d'applications qui n'ont pas encore été découvertes.
Dans les sections suivantes, nous fournirons des exemples de la façon dont nous avons conçu la dernière génération de produits de sécurité qui utilisent l'IA pour offrir une protection contre les attaques renforcées par IA.
Protéger les API grâce à la détection des anomalies
Les API sont au cœur du web moderne ; elles représentent aujourd'hui 57 % du trafic dynamique transitant sur le réseau Cloudflare, contre 52 % en 2021. Si les API ne sont pas une technologie nouvelle, leur sécurisation diffère de celle d'une application web traditionnelle. En effet, dans la mesure où les API proposent intrinsèquement un accès programmatique aisé et où elles gagnent chaque jour en popularité, les fraudeurs et les auteurs de menaces s'intéressent désormais à elles, et les équipes de sécurité doivent maintenant contrer cette menace grandissante. Il est important de noter que chaque API est généralement unique au regard de son objectif et de son utilisation, et que la sécurisation des API peut donc demander énormément de temps.
Cloudflare annonce le développement de la fonctionnalité de détection des anomalies des API pour API Gateway, afin de protéger les API contre les attaques visant à causer des dommages aux applications, à prendre le contrôle de comptes ou à exfiltrer des données. API Gateway fournit une couche de protection entre les API hébergées et chaque appareil communiquant avec elles, en vous offrant la visibilité, le contrôle et les outils de sécurité indispensables pour gérer vos API.
La fonctionnalité de détection d'anomalies des API est une fonctionnalité à venir, basée sur l'apprentissage automatique, de notre suite de produits API Gateway, ainsi que le successeur naturel de Sequence Analytics. Pour offrir une protection des API à grande échelle, la fonctionnalité de détection des anomalies des API apprend la logique opérationnelle d'une application en analysant les séquences de requêtes d'API des clients. Elle élabore ensuite un modèle représentant une séquence de requêtes attendues pour cette application. Le modèle de trafic qui en résulte est utilisé pour identifier les attaques qui divergent du comportement attendu du client. En conséquence, API Gateway peut utiliser sa fonctionnalité Sequence Mitigation pour appliquer le modèle appris de la logique opérationnelle prévue de l'application, et ainsi, mettre fin aux attaques.
Alors que nous développons encore la fonctionnalité de détection des anomalies des API, les clients utilisateurs d'API Gateway peuvent s'inscrire ici pour être inclus dans la version bêta de la fonctionnalité de détection des anomalies des API. Aujourd'hui, les clients peuvent commencer à utiliser Sequence Analytics et Sequence Mitigation en consultant la documentation. Les clients entreprises qui n'ont pas acheté API Gateway peuvent démarrer elles-mêmes un essai depuis le tableau de bord Cloudflare ou contacter leur responsable de compte pour plus d'informations.
Identifier les vulnérabilités inconnues des applications
Un autre domaine dans lequel l'IA renforce la sécurité est notre pare-feu d'applications web (WAF). Cloudflare traite en moyenne 55 millions de requêtes HTTP par seconde, et dispose d'une visibilité inégalée des attaques et des exploitations de vulnérabilité ciblant un grand nombre d'applications partout dans le monde.
L'un des principaux défis du pare-feu WAF est l'ajout de protections contre les nouvelles vulnérabilités et les faux positifs. Un pare-feu WAF propose un ensemble de règles conçues pour identifier les attaques dirigées contre les applications web. De nouvelles vulnérabilités sont découvertes chaque jour, et chez Cloudflare, nous disposons d'une équipe d'analystes de sécurité qui créent de nouvelles règles lorsque des vulnérabilités sont découvertes. Cependant, la création manuelle de règles demande du temps (généralement des heures), laissant les applications potentiellement vulnérables jusqu'à ce qu'une protection soit déployée. L'autre problème est que les acteurs de menaces modifient et font continuellement évoluer les contenus malveillants utilisés lors des attaques existantes, qui peuvent potentiellement contourner les règles existantes.
C'est pourquoi, depuis des années, Cloudflare recourt à des modèles d'apprentissage automatique qui tirent continuellement les enseignements des dernières attaques et déploient des mesures d'atténuation, sans nécessiter la création manuelle de règles. C'est ce que permet de représenter, par exemple, notre solution WAF Attack Score. L'indice WAF Attack Score est basé sur un modèle d'apprentissage automatique formé avec le trafic d'attaque identifié sur le réseau de Cloudflare. Le classificateur résultant nous permet d'identifier les variations et les contournements des attaques existantes, mais également d'étendre la protection aux attaques nouvelles et non découvertes. Récemment, nous avons intégré Attack Score à l'ensemble des offres Enterprise et Business.
Attack Score utilise l'IA pour catégoriser chaque requête HTTP en fonction de la probabilité qu'elle soit malveillante.
Si la contribution des analystes de sécurité est indispensable, à l'ère de l'IA, et tandis que les contenus malveillants utilisés lors des attaques évoluent rapidement, une stratégie de sécurité solide exige des solutions qui ne reposent pas sur des opérateurs humains chargés d'écrire des règles correspondant à chaque nouvelle menace. L'association d'Attack Score et des règles traditionnelles, basées sur les signatures, offre un exemple de la manière dont les systèmes intelligents peuvent soutenir les tâches effectuées par les humains. Attack Score identifie de nouveaux contenus malveillants qui peuvent être utilisés par les analystes pour optimiser les règles qui, à leur tour, fournissent de meilleures données d'apprentissage pour nos modèles IA. Cela crée une boucle de rétroaction positive qui améliore la protection globale et le temps de réponse de notre pare-feu WAF.
À long terme, nous adapterons le modèle IA pour tenir compte des caractéristiques du trafic spécifiques à chaque client, afin de mieux identifier les écarts par rapport à un trafic normal et bénin.
Utiliser l'IA pour lutter contre le phishing
Le courrier électronique est l'un des vecteurs les plus efficaces utilisés par les acteurs malveillants. L'institut américain Cybersecurity and Infrastructure Security Agency (CISA) rapporte que 90 % des cyberattaques commencent par du phishing, et Cloudflare Email Security a identifié 2,6 % des e-mails transmis en 2023 comme malveillant. L'essor des attaques renforcées par IA rend obsolètes les fournisseurs de solutions traditionnelles de sécurité du courrier électronique, car les acteurs malveillants peuvent désormais élaborer des e-mails de phishing plus crédibles que jamais, contenant peu, voire pas d'erreurs de langage.
Cloudflare Email Security est un service cloud-native qui arrête les attaques par phishing sur l'ensemble des vecteurs de menace. Le produit de sécurité du courrier électronique de Cloudflare continue de protéger les clients grâce à ses modèles IA, alors même que les tendances telles que l'IA générative continuent d'évoluer. Les modèles de Cloudflare analysent toutes les composantes d'une attaque par phishing afin de déterminer le risque qu'elle représente pour l'utilisateur final. Certains de nos modèles IA sont personnalisés pour chaque client, tandis que d'autres sont formés de manière holistique. La confidentialité est primordiale chez Cloudflare ; c'est pourquoi seules les données autres que les informations d'identification personnelle sont utilisées par nos outils aux fins de l'apprentissage. En 2023, Cloudflare a traité environ 13 milliards d'e-mails et en a bloqué 3,4 milliards, fournissant au produit de sécurité du courrier électronique un riche ensemble de données pouvant être utilisé pour former des modèles IA.
Les détections Honeycomb et Labyrinth font partie de notre portefeuille.
Honeycomb est un modèle breveté de réputation des domaines d'expéditeurs de courrier électronique. Ce service établit un graphique des expéditeurs de messages et élabore un modèle permettant de déterminer le risque. Les modèles sont formés avec des modèles de trafic spécifiques aux clients, de sorte que chaque client dispose de modèles IA formés en fonction de l'apparence de son trafic légitime.
Labyrinth utilise l'apprentissage automatique pour offrir une protection individualisée aux clients. Des acteurs malveillants tentent d'usurper des e-mails provenant d'entreprises partenaires légitimes de nos clients. Nous pouvons collecter une liste de statistiques sur les expéditeurs d'e-mails connus et fiables pour chacun de nos clients. Nous pouvons alors détecter les tentatives d'usurpation lorsqu'un e-mail est envoyé par une personne dont le domaine n'est pas vérifié, mais que le domaine mentionné dans l'e-mail lui-même est un domaine de référence/vérifié.
L'IA reste au cœur de notre solution de sécurité du courrier électronique, et nous améliorons continuellement nos façons de l'utiliser dans notre produit. Si vous souhaitez obtenir plus d'informations sur la manière dont nous utilisons nos modèles IA pour arrêter les attaques par phishing renforcé par IA, consultez notre article de blog.
Sécurité Zero Trust protégée et renforcée par IA
Cloudflare Zero Trust fournit aux administrateurs les outils indispensables pour protéger l'accès à leur infrastructure informatique en appliquant une vérification stricte de l'identité de chaque personne et de chaque appareil, qu'ils soient présents à l'intérieur ou à l'extérieur du périmètre du réseau.
L'un des principaux défis consiste à appliquer un contrôle d'accès strict, tout en réduisant les frictions introduites par la fréquence des vérifications. Les solutions existantes exercent également une pression sur les équipes informatiques, qui doivent analyser les données de connexion afin de suivre l'évolution des risques au sein de leur infrastructure. L'examen d'un immense volume de données avec la finalité d'identifier de rares attaques nécessite de mobiliser des équipes importantes et des budgets considérables.
Cloudflare simplifie ce processus en introduisant un système de notation du risque lié à l'utilisateur, basé sur le comportement. En tirant parti de l'IA, nous analysons les données en temps réel afin d'identifier les anomalies dans le comportement des utilisateurs et les signaux susceptibles de nuire à l'entreprise. Les administrateurs disposent ainsi de recommandations sur la manière d'adapter la stratégie de sécurité en fonction du comportement des utilisateurs.
L'évaluation du risque lié à l'utilisateur par la solution Zero Trust détecte les activités et les comportements des utilisateurs qui pourraient constituer un risque pour vos organisations, vos systèmes et vos données, et attribue à l'utilisateur concerné une note faible, moyenne ou élevée. Cette approche est parfois appelée « analyse comportementale des utilisateurs et des entités » (UEBA, User and Entity Behavior Analytics) et permet aux équipes de détecter et de remédier à d'éventuelles compromissions de comptes, à des violations des politiques d'entreprises et à d'autres activités comportant un risque.
Le premier comportement contextuel que nous lançons est le « parcours impossible », qui permet de déterminer si les informations d'identification d'un utilisateur sont utilisées dans deux endroits où l'utilisateur n'aurait pas pu se rendre durant cette période. Ces scores de risque peuvent être étendus à l'avenir, afin de mettre en évidence les risques liés aux comportements personnalisés en fonction d'informations contextuelles telles que l'heure de la journée, les modèles d'utilisation et les modèles d'accès, et ainsi, identifier tout comportement anormal. Puisque tout le trafic est traité en proxy par votre passerelle SWG, cette méthode peut également être étendue aux ressources consultées (un référentiel interne de l'entreprise, par exemple).
Nous allons annoncer un lancement passionnant à l'occasion de la Security Week. Consultez cet article de blog pour en savoir plus.
Conclusion
De la sécurité des applications et du courrier électronique à la sécurité des réseaux et la sécurité Zero Trust, nous constatons que les acteurs malveillants exploitent les nouvelles technologies pour atteindre plus efficacement leurs objectifs. Au cours des dernières années, plusieurs équipes d'ingénieurs et de produits de Cloudflare ont adopté des systèmes intelligents afin de mieux identifier les utilisations abusives et de renforcer la protection.
Outre l'engouement pour l'IA générative, l'IA joue déjà un rôle crucial dans la manière dont nous défendons les ressources numériques contre les attaques et dont nous décourageons les acteurs malveillants.