De StackStorm à DeepTempo

Le paysage de la cybersécurité a radicalement changé depuis la création de StackStorm, une plateforme d'automatisation pilotée par les événements. Initialement, l'accent était mis sur la gestion des alertes existantes avec un contexte et des playbooks prédéfinis. Cependant, les systèmes traditionnels basés sur les signatures peinent désormais à suivre l'évolution des menaces, la plupart des attaques les contournant. Les tactiques "Living-off-the-Land" et les logiciels malveillants basés sur l'IA sont en augmentation, rendant les méthodes traditionnelles moins efficaces. Les attaques basées sur l'IA constituent la principale préoccupation des acheteurs en matière de cybersécurité, malgré l'essor des SOC (centres d'opérations de sécurité) dotés d'IA, qui restent largement réactifs. Les solutions d'apprentissage automatique nécessitent souvent un réapprentissage intensif et produisent un taux élevé de faux positifs. Les besoins modernes en matière de sécurité doivent se concentrer sur la réalisation d'une sécurité réelle grâce à une meilleure détection des menaces. Un modèle linguistique de logs (LogLM) peut détecter les anomalies provenant de diverses attaques avec une grande précision et un réglage fin minimal. L'apprentissage actif affine davantage le LogLM, s'adaptant aux changements de données et améliorant les taux de détection. L'auteur sollicite des commentaires sur la nécessité d'indicateurs plus performants et adaptables, avec un faible taux de faux positifs, pour faire face aux menaces cybernétiques modernes.