Ces développements interviennent dans les quatre domaines essentiels suivants :

Le dataset SOREL-20M pour accélérer la recherche de la détection des malwares

SOREL-20M, un projet mené conjointement par SophosAI et ReversingLabs, est un dataset à l’échelle de la production contenant des métadonnées, des étiquettes et des caractéristiques pour 20 millions de fichiers Portable Executable (PE) Windows. Il inclut 10 millions d’échantillons de malwares désamorcés et téléchargeables afin de faire des recherches sur l’extraction des caractéristiques et d’accélérer les améliorations en matière de sécurité. Il s’agit du premier dataset de recherches sur les malwares à l’échelle de la production rendu disponible au grand public qui contient un ensemble d’échantillons étiquetés et organisés et des métadonnées pertinentes pour la sécurité.

Une méthode de protection contre l’usurpation d’identité alimentée par l’IA

La protection contre l’usurpation d’identité de SophosAI est conçue pour protéger contre les attaques de spearphishing par e-mail, au cours desquelles l’identité de personnes influentes est usurpée afin d’inciter les destinataires à entreprendre des actions néfastes. Cette nouvelle protection compare le nom affiché dans les e-mails entrants avec les titres des dirigeants haut placés – ceux qui sont le plus susceptibles de voir leur identité usurpée dans un attaque de spearphishing, comme les PDG, les directeurs financiers et les présidents, qui sont spécifiques à certaines entreprises et signalent ces messages lorsqu’ils semblent suspects. Sophos a entrainé l’IA qui œuvre en coulisses à partir d’un vaste échantillon contenant de millions d’e-mails d’attaques connus.

L’épidémiologie numérique afin de déterminer la quantité de malwares non détectés

SophosAI a également bâti un ensemble de modèles statistiques inspirés de l’épidémiologie pour estimer la prévalence des infections par malwares dans son ensemble, ce qui permet à Sophos d’estimer la quantité – et de trouver – les « aiguilles dans une botte » de fichiers PE. SophosAI a été l’une des premières à utiliser et à rendre publiquement disponible cette méthode qui permet d’estimer l’étendue de la « matière noire » malveillante ou de déterminer la quantité de malwares manqués ou mal classifiés et de « malwares futurs » que sont en train de développer les attaquants. Le modèle est conçu pour une extension à d’autres classes de fichiers et d’artefacts issus des systèmes d’informations.

Les outils de génération de signature automatique YaraML

La génération de signatures pour la détection des familles de malwares est un processus manuel laborieux. Au fil des ans, les chercheurs ont proposé une grande variété de méthodes de génération de signature automatique dont la plupart n’ont pas été adoptées, car elles étaient moins performantes que les méthodes manuelles. SophosAI a développé une nouvelle méthode de génération de signature automatique appelée YaraML, radicalement différente des options précédentes, car elle adresse le problème en se fondant sur l’IA. SophosAI « compile » directement des modèles de machine learning aboutis et de force industrielle, du même type que ceux utilisées dans les produits de sécurité commerciaux, au sein de langages de signature, permettant ainsi à l’IA « d’écrire » les signatures. Cette méthode se révèle bien plus efficace que les approches précédentes et représente une avancée pour la communauté de la sécurité. SophosAI a rendu YaraML disponible en open source.

SophosAI fonctionne à la manière d’un incubateur de start-ups, tout en disposant des ressources intellectuelles d’une entreprise dont la valeur approche le milliard de dollars et qui compte plusieurs milliers de clients. Elle bénéficie notamment des enseignements du SophosLabs et de Sophos Managed Threat Response. Enfin, les avancées de SophosAI peuvent également être intégrées directement au sein des nouveaux produits. Ce modèle permet à Sophos de répondre rapidement aux besoins du marché, de prédire la direction que le secteur doit prendre et de faire avancer l’esprit d’ouverture pour améliorer la collaboration et l’innovation dans le domaine de la cybersécurité, tous ces éléments étant essentiels au développement de défenses contre des adversaires qui évoluent rapidement.