Les jours zéro de l’IA sont arrivés : Ce que les RSSI doivent savoir
Pour la première fois, un système de découverte de vulnérabilité alimenté par l'IA a identifié une faille zero day dans un logiciel couramment utilisé, selon l'équipe de sécurité de Google. La percée de Google en matière d’IA souligne un changement inévitable vers des risques et des solutions alimentés par l’IA. Les chercheurs de Google ont utilisé un modèle d’IA, Big Sleep, pour identifier une vulnérabilité de sécurité de la mémoire (un dépassement de tampon de pile) dans le moteur de base de données SQLite. SQLite est l'un des moteurs de base de données les plus largement déployés, intégré à des millions d'appareils et applications. Il est open source et occupe une part importante de la chaîne d’approvisionnement logicielle pour les pipelines de données et les bases de données. Big Sleep a identifié une vulnérabilité critique de dépassement de tampon de pile dans son code, une faille manquée par les méthodes conventionnelles.
Pour les RSSI, les implications sont importantes. L’IA peut et sera utilisée pour détecter les zero days, tant par les bons que par les mauvais acteurs. La sécurité va s’accélérer et l’IA devra suivre le rythme. Dans le même temps, il deviendra encore plus important de garantir que les contrôles de sécurité de base sont en place et ajustés. Ce moment met en évidence la nécessité de s’attaquer aux menaces liées à l’IA sous deux angles. Tout d’abord, en déployant des défenses basées sur l’IA pour contrer l’évolution rapide des risques de sécurité. Deuxièmement, en veillant à ce que les cadres de sécurité existants soient renforcés et capables de s’intégrer à ces nouvelles capacités.
La montée en puissance des zero-days alimentés par l'IA est imminente
Les grands modèles de langage (LLM) qui gèrent le codage et l’analyse de code s’améliorent rapidement. Ils sont également disponibles gratuitement et souvent dans le domaine open source. Les attaquants l’ont remarqué et cherchent activement à exploiter l’IA pour rechercher les vulnérabilités des systèmes. Les RSSI doivent s’attendre à ce qu’une augmentation des vulnérabilités zero-day découvertes par l’IA découle de plusieurs facteurs clés :
Capacités d’IA avancées : Les modèles d’IA modernes, en particulier les LLM, ont démontré leur compétence dans l’analyse de bases de code complexes pour identifier des vulnérabilités jusque-là inconnues. L'utilisation de l'IA par Google dans le cadre du projet Big Sleep pour découvrir une vulnérabilité zero-day généralisée est un bon exemple du potentiel de l'IA dans les mesures de sécurité proactives.
Automatisation et efficacité : Les outils basés sur l’IA peuvent automatiser le processus de découverte des vulnérabilités, accélérant ainsi considérablement l’identification des failles de sécurité. Cette efficacité permet de détecter les vulnérabilités à un rythme impossible à atteindre par les seules méthodes manuelles. L'utilisation de l'IA par GreyNoise Intelligence pour découvrir les vulnérabilités zero-day dans les caméras de diffusion en direct illustre cette capacité.
Meilleure compréhension sémantique : Les modèles d’IA peuvent analyser le code avec une compréhension plus approfondie du contexte, de l’intention et de la fonctionnalité, découvrant des vulnérabilités que les méthodes traditionnelles pourraient négliger. Cette connaissance sémantique permet à l’IA d’identifier non seulement les erreurs de codage évidentes, mais également les failles logiques nuancées, les problèmes de configuration et les failles de sécurité qui pourraient être exploitées. Par exemple, OpenAI Codex a démontré sa capacité à détecter des faiblesses de sécurité subtiles en interprétant le comportement prévu d’un programme par rapport à sa mise en œuvre réelle.
La convergence de ces avancées signifie que les RSSI et les équipes de sécurité doivent se préparer à une vague de vulnérabilités zero-day découvertes par l’IA. Pour garder une longueur d’avance, les organisations doivent donner la priorité à l’adoption d’outils défensifs basés sur l’IA, accroître la collaboration entre les équipes de développement et de sécurité pour traiter les vulnérabilités plus tôt et former en permanence le personnel sur les menaces émergentes de l’IA. Les stratégies proactives seront cruciales pour atténuer les risques posés par cette nouvelle ère de cyberattaques utilisant l’IA. Cela impliquera de déployer l’IA pour lutter contre les menaces de l’IA, et également de redoubler d’efforts en matière de confiance zéro et d’autres stratégies proactives pour réduire la surface d’attaque.
Une défense encore plus poussée en profondeur devient impérative
Pour les RSSI, le nouveau paysage des menaces de l’IA souligne encore davantage l’importance de couvrir autant que possible la surface d’attaque. Cela signifie couvrir un éventail plus large de données de code, de configuration et de protocoles. Cela signifie également distribuer les mécanismes de sécurité à davantage de points de détection dans le cycle de vie de livraison des application et fournir des outils et une automatisation pour éliminer davantage de tâches manuelles.
Par exemple, F5 NGINX App Protect bloquerait probablement de nombreux zero-day identifiés par l’IA en empêchant les classes de comportement anormales et sur un large éventail de protocoles (HTTP/S, HTTP/2, gRPC, MQTT et WebSocket). NGINX App Protect peut être déployé n'importe où, y compris avec n'importe quel produit NGINX et dans le pipeline CI/CD. Pour un autre aspect de la défense en profondeur, la console NGINX One SaaS fonctionne comme un moteur de recommandation de configuration automatisé, permettant aux équipes d'appliquer rapidement des modifications de configuration pour bloquer les jours zéro à l'ensemble de leur flotte NGINX (y compris NGINX Plus, NGINX Open Source, les produits Kubernetes et les options Azure-as-a-Service).
Repousser les limites de la défense en profondeur à l'ère de l'IA
Les zero-days de l’IA ne constituent pas seulement un changement dans le paysage des menaces : ils offrent un aperçu de l’avenir de la cybersécurité. La découverte de vulnérabilités par l’IA n’est pas un événement ponctuel ; c’est un signal que les outils que nous utilisons pour nous protéger doivent évoluer au même rythme que ceux utilisés pour nous attaquer. Les vulnérabilités induites par l’IA marquent un tournant pour la cybersécurité, exigeant une stratégie de défense plus large et plus approfondie.
Alors que les attaquants exploitent l’IA pour découvrir et exploiter les faiblesses, les RSSI doivent se concentrer sur la défense en profondeur, en couvrant davantage de terrain sur la surface d’attaque. Cela signifie étendre la protection pour englober davantage de protocoles, de bases de code et de données de configuration tout en déployant des mécanismes de sécurité à chaque étape du cycle de vie des applications. L’augmentation des menaces liées à l’IA ne nécessite pas seulement des outils plus intelligents ; elle nécessite également une couverture et une automatisation complètes pour minimiser les erreurs humaines. Dans cette nouvelle ère, la survie dépend de la capacité à fortifier chaque couche et à ne laisser aucune vulnérabilité sans protection.
Pour en savoir plus, visitez la page Web F5 NGINX App Protect .