L'outil de requêtes IA de VMware vient assister les opérateurs peu expérimentés dans les équipes de gestion des menaces. (Crédit VMware)
Reposant sur Google Gemini, Intelligent Assist greffé à la plateforme vDefend sera lancé au premier trimestre 2025 pour aider les équipes SOC à comprendre ce qui se cache derrière les alertes, annonce VMware la division logiciels de Broadcom.
Ne vous attendez pas à une révolution lorsque Broadcom, via VMware, lancera son outil de requêtes AI pour la plateforme vDefend au début de l'année prochaine, explique un analyste IT. "Ils semblent faire des promesses pragmatiques", a indiqué Fernando Montenegro d'Omdia à propos de l'annonce faite mardi lors du VMware Explore à Barcelone (du 4 au 7 novembre), selon laquelle l'assistant IA, Intelligent Assist, sera disponible au premier trimestre 2025. Il est actuellement en phase d'essai bêta avec des clients. "C'est bien qu'ils soient prudents à ce sujet" au lieu de faire des promesses extravagantes selon lesquelles l'assistant génératif IA (genAI) améliorerait radicalement la sécurité, a-t-il déclaré lors d'une interview. "Je n'ai rien vu de radicalement différent dans les cas d'utilisation" que VMware a présentés lors d'un briefing sur Intelligent Assist, a déclaré M. Montenegro. Ces usages visent à aider l'équipe SOC à comprendre ce qui se passe lorsqu'une alerte est déclenchée, et à obtenir des recommandations sur la manière de résoudre le problème. Cependant, a-t-il ajouté, la valeur d'Intelligent Assist pourrait dépendre de la maturité de l'équipe de sécurité. "Si vous avez une équipe plutôt junior et qu'ils ont besoin d'aide pour enquêter sur ce genre d'incidents, je pense que cela peut être positif", a souligné l'analyste. "En revanche, si vous avez quelqu'un qui traite 50 de ces incidents avant le petit déjeuner, je ne pense pas que l'IA générative ajoutera beaucoup de capacité." C'est vrai pour tous les produits d'IA générative, a-t-il ajouté.
D'un autre côté, Ranga Rajagpalan, CTO de la division réseaux et sécurité des applications de Broadcom, a déclaré que les professionnels de la cybersécurité verront une amélioration significative de leur productivité. Intelligent Assist peut réduire jusqu'à 10 fois le nombre d'événements auxquels l'équipe SOC est confrontée, a-t-il déclaré lors d'une interview. "C'est une énorme victoire en soi", a-t-il ajouté. Et la capacité de l'outil à fournir des recommandations de remédiation pourrait améliorer jusqu'à deux fois les réponses. vDefend est un ensemble de capacités de sécurité qui inclut un pare-feu, la détection et la prévention des intrusions pour des environnements fonctionnant sur la plateforme VMware Cloud Foundation (VCF). Intelligent Assist - jusqu'à présent connu sous le nom de Project Cyprus, annoncé en août lors de VMware Explore à Las Vegas - recherche des informations sur les menaces et les alertes collectées dans vDefend. S'il trouve un schéma, il le présente à un analyste des menaces sous forme de "campagne". L'analyste peut alors demander à Intelligent Assist d'expliquer la campagne, puis de fournir des recommandations d'atténuation. Intelligent Assist n'agit pas de manière autonome, a souligné Ranga Rajagpalan. De plus, les données des clients ne sont pas utilisées pour entraîner le modèle.
Un assistant IA reposant sur Google Gemini
Intelligent Assist prend en compte le contexte de la configuration du client et ce qu'il voit dans son environnement, et non pas sur Internet ouvert, poursuit le CTO. "Il est très centré sur les cas d'utilisation de sécurité dans le contexte de ce que nous voyons dans l'environnement du client." Cela, a-t-il ajouté, réduit les risques de ce que l'on appelle les hallucinations de l'IA. Il ne fait que des recommandations à l'équipe de gestion des menaces, comme suggérer l'installation d'une politique de sécurité ou l'activation d'une signature de malware. "Il n'agira jamais de manière autonome", a précisé M. Rajagpalan. "Le contrôle final reste toujours entre les mains de l'opérateur." Intelligent Assist provient de l'utilisation par VMware de Google Gemini comme son grand modèle de langage (LLM), hébergé soit sur Google Cloud Platform soit sur site, mais les clients peuvent utiliser n'importe quel LLM qu'ils souhaitent. Une fois disponible avec la prochaine version de vDefend, probablement en février ou mars 2025, l'installation d'Intelligent Assist sera rapide, avec du personnel de cybersécurité approuvé prêt à l'utiliser en une journée, a déclaré Broadcom.
Initialement, l'outil basé sur Google Gemini sera gratuit, mais avec des limites sur le nombre de requêtes ou de conversations. Il y aura une option pour un accès illimité payant. Ceux qui choisiront d'utiliser leur propre modèle d'IA générative n'auront aucun frais supplémentaire. "Être un chasseur de menaces ou un analyste des menaces dans le centre des opérations de sécurité aujourd'hui est l'un des emplois les plus stressants pour diverses raisons", a indiqué M. Rajagpalan. "Premièrement, il est très difficile de trouver des professionnels expérimentés en cybersécurité capables de mener des enquêtes sur les menaces, donc les équipes sont toujours sous-qualifiées. Deuxièmement, les CISO avec qui je parle nous disent : "Faites tout ce que vous pouvez pour aider notre équipe SOC", car ils sont submergés par un déluge d'événements, d'alertes, etc. Nous pensons qu'avec cet Intelligent Assist, nous pouvons réduire considérablement le volume de menaces et d'alertes qu'ils doivent traiter. De plus, ils n'ont pas besoin de se familiariser avec tous les types de malwares ou de ransomwares existants. C'est ce que l'outil est censé faire : ils peuvent rechercher ces informations. Troisièmement, comment un CISO atténue-t-il le problème, et cette solution aidera l'équipe de sécurité [...] Nous pensons que cela va être d'une aide précieuse."
Un équilibrage de charge revu
Ce mardi, VMware a également annoncé des améliorations de performance pour son AVI Load Balancer afin d'optimiser l'équilibrage de charge pour les environnements VCF et Kubernetes. Ces améliorations se concentrent sur l'automatisation, la résilience et la pérennisation des opérations. L'une d'elles améliore le support pour les déploiements à grande échelle et les performances des protocoles SSL, tandis qu'une autre améliore la résilience des applications, offrant une haute disponibilité avec un support multi-zones de disponibilité.
Suivez-nous