Un média a récemment réalisé une interview virtuelle avec Nir Zuk, fondateur et directeur technique (CTO) de Palo Alto Networks, un leader dans l'évolution de la cybersécurité. La discussion a porté sur le rôle crucial de l'apprentissage automatique dans l'amélioration des performances des centres d'opérations de sécurité (SOC) et son intégration au sein de l'architecture Cortex XSIAM.
Avant de fonder Palo Alto Networks en 2005, Zuk était CTO chez NetScreen Technologies, acquis par Juniper Networks en 2004. Il a cofondé OneSecure, un pionnier des systèmes de prévention des intrusions, et a été ingénieur principal chez Check Point Software Technologies, contribuant au développement de la technologie d'inspection d'état.
Pour le deuxième trimestre fiscal de 2024, clôturé le 31 janvier, Palo Alto Networks a enregistré une augmentation de 19 % de son chiffre d'affaires, atteignant 2 milliards de dollars contre 1,7 milliard de dollars au même trimestre l'année précédente. Le résultat net GAAP de l'entreprise a bondi à 1,7 milliard de dollars, contre 0,1 milliard de dollars au T2 2023. Actuellement, Palo Alto Networks compte plus de 85 000 clients dans le monde, y compris la majorité des Global 2000.
Un média : Pourquoi l'apprentissage automatique est-il essentiel pour améliorer les performances des SOC ?
Zuk : L'apprentissage automatique est crucial car il change notre approche des attaques connues, peu fréquentes, pour évaluer chaque événement dans l'infrastructure comme une menace potentielle. Cette transition nous permet d'évaluer des millions d'attaques possibles chaque seconde, ce qui est impossible à gérer uniquement par les humains.
VB : Comment l'apprentissage automatique transforme-t-il les opérations de sécurité et optimise-t-il les indicateurs clés des SOC ?
Zuk : Nous abordons la cybersécurité sous deux angles. Le premier est préventif, centré sur le maintien des adversaires à l'extérieur—sécurité réseau traditionnelle, sécurité des points d'accès et gestion des accès. Cependant, nous devons également reconnaître que des violations peuvent se produire. Ainsi, si un intrus réussit à pénétrer, le rôle du SOC est de les traquer activement, c'est là qu'intervient l'apprentissage automatique, permettant la détection et la réponse, que les menaces soient à l'extérieur ou déjà à l'intérieur.
VB : Observez-vous une augmentation du nombre de plateformes cloud utilisées par vos clients ? Cherchent-ils à naviguer dans les complexités de la détection et de la réponse cloud ?
Zuk : Absolument. Les équipes d'opérations de sécurité sont souvent débordées par la complexité des environnements cloud par rapport aux centres de données traditionnels. Cette complexité nécessite des outils efficaces pour que les SOC gèrent la sécurité cloud. Le concept précédent d'intégration des opérations de sécurité dans DevOps n'a pas fait ses preuves, car les deux rencontrent des défis similaires. XSIAM répond à ces complexités, offrant une solution aux SOC—qu'ils soient axés sur le cloud ou généraux.
VB : Quel est le rôle de l'apprentissage automatique dans l'architecture Cortex XSIAM ?
Zuk : Cortex XSIAM est essentiellement un système d'apprentissage automatique qui utilise des modèles sur mesure pour détecter différents types d'attaques. Nous avons actuellement environ 1 400 modèles spécialisés développés par des experts en cybersécurité, y compris d'anciens militaires et opérateurs des services de renseignement, qui traduisent leur expérience en modèles efficaces pour la détection des menaces.
VB : Anonymisez-vous les données d'attaque pour former vos modèles à partir des interactions avec divers clients ?
Zuk : Notre approche de l'apprentissage automatique est distincte des tendances courantes du marché. Nous ne formons pas nos modèles sur des données clients, mais sur des données d'attaque collectées à partir de diverses sources. Cela nous permet d'établir ce qui est normal pour l'infrastructure d'un client et d'identifier les anomalies sans compromettre la confidentialité des données.
VB : Comment vos clients abordent-ils les indicateurs de performance des SOC ?
Zuk : Nous encourageons activement les clients à mesurer des indicateurs clés comme le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR). Les recherches actuelles suggèrent que le MTTD est souvent mesuré en mois, mais je crois que nous pouvons l'améliorer à des semaines, voire des jours. Il en va de même pour le MTTR, qui est souvent mesuré en heures. La plupart de nos clients et prospects ne mesurent pas actuellement ces indicateurs importants.
VB : Comment gérez-vous la tarification et les mises à jour ?
Zuk : La tarification de XSIAM est basée sur le volume des données analysées. Nous visons à aligner nos tarifs avec les solutions SOC existantes, même si nous traitons des volumes de données bien plus importants—souvent 10 à 100 fois supérieurs à ceux des systèmes de gestion des informations et des événements de sécurité (SIEM) classiques. Notre objectif est d'éviter aux SOC de subir une augmentation drastique de leur budget.
Classement
