Protocole de contexte modèle décodé : définition et utilisation

Protocole de contexte modèle décodé : définition et utilisation

La lutte contre la cybersécurité est permanente. Les attaquants innovent sans cesse tandis que les défenseurs peinent à gérer un flux incessant d'alertes et des outils cloisonnés. L'intelligence artificielle (IA) promet des fonctionnalités puissantes, mais le manque de contexte en temps réel et les difficultés d'intégration ont freiné son efficacité dans l'automatisation de la sécurité., Protocole de contexte de modèle (MCP) s'impose comme une norme ouverte révolutionnaire, annonçant une nouvelle ère d'intelligence opérations de sécurité (SecOps).

Le goulot d'étranglement de l'automatisation de l'IA en cybersécurité

Malgré les promesses de l'IA, centres d'opérations de sécurité (SOC) faire face à des obstacles persistants :

• Surcharge d'alertes : Un flot d'alertes masque les menaces réelles.
• Silos d'outils : Des outils déconnectés empêchent une vision unifiée de la sécurité.
• Contexte manquant : L'IA a besoin de données riches et en temps réel provenant de sources diverses pour prendre des décisions intelligentes, une tâche historiquement difficile.
• Intégrations rigides : L'intégration de l'IA aux outils de sécurité nécessite souvent des solutions personnalisées et rigides.

Ces problèmes limitent la capacité de l'IA à devenir le multiplicateur de force décisif dont les équipes de sécurité ont désespérément besoin.

Qu'est-ce que le protocole MCP (Model Context Protocol) ? 

MCP, une norme ouverte créée par Anthropic, agit comme un adaptateur universel, permettant aux modèles d'IA de communiquer de manière transparente avec des outils, des sources de données et des services externes. Elle standardise la façon dont l'IA obtient le contexte dont elle a besoin.

MCP utilise une architecture client-serveur :

• Hôte MCP : Une application d'IA (par exemple, un assistant IA comme Hero AI) qui nécessite des données ou des actions externes. Elle exécute des clients MCP.
• Client MCP : Au sein du système hôte, il détecte un serveur MCP et communique avec celui-ci.
• Serveur MCP : Une interface autour d'un outil spécifique (comme Swimlane Turbine), d'une base de données ou d'une API, exposant ses fonctions et ses données de manière standardisée.

Les 5 principaux avantages du programme MCP :

1. Interopérabilité : Un langage commun simplifie les intégrations personnalisées complexes. Si un outil dispose d'un serveur MCP, tout hôte d'IA compatible MCP peut interagir avec lui.
2. Contexte en temps réel : Les modèles d'IA interrogent les serveurs MCP pour obtenir des informations en direct et à jour.
3. Extensibilité: Les agents d'IA peuvent facilement se connecter à un écosystème croissant d'outils et de données compatibles MCP.
4. Sécurité renforcée : MCP facilite un accès sécurisé et auditable aux ressources.
5. Efficacité du développement : Créez un serveur MCP une seule fois, et de nombreux agents d'IA pourront l'utiliser.

Comment MCP est utilisé dans l'automatisation de la cybersécurité

En matière de cybersécurité, l'impact de MCP est transformateur. Il permet aux agents d'IA d'accéder et d'exploiter en toute sécurité les données provenant de l'ensemble de la chaîne d'outils de sécurité :

• Visibilité unifiée : Un agent de sécurité IA peut se connecter aux serveurs MCP pour SIEM, EDR, le renseignement sur les menaces et plus encore, permettant ainsi d'obtenir une vue d'ensemble.
• Triage intelligent : Un contexte plus riche provenant de multiples sources connectées au MCP permet à l'IA d'effectuer un tri des alertes plus précis, réduisant ainsi les faux positifs.
• Réponse dynamique : Les agents d'IA peuvent utiliser MCP pour déclencher des actions dans les outils de sécurité connectés (par exemple, isoler un point de terminaison via le serveur MCP d'un EDR) dans le cadre d'une réponse automatisée.

Imaginez un assistant IA qui, lorsqu'il détecte une adresse IP suspecte, interroge automatiquement les flux de menaces, vérifie les journaux internes et recommande des actions, le tout orchestré via MCP.

Swimlane et MCP : Optimisation des opérations de sécurité grâce à l’automatisation adaptative 

Pour démontrer le potentiel du MCP ainsi que la puissance et la flexibilité de Turbine de couloir de nage, Nous avons créé un exemple de playbook qui utilise MCP pour fournir Héros IA l'agence pour communiquer avec VirusTotal, Slack et Firecrawl.

Sur simple instruction, l'action vérifie un indicateur de compromission (IOC) auprès de VirusTotal. Si l'IOC est malveillant, elle résume le verdict dans un message Slack destiné aux autres membres de l'équipe, accompagné d'un lien leur permettant de communiquer s'ils souhaitent entreprendre des démarches supplémentaires. Des éléments tels que le domaine, le canal Slack et le webhook d'approbation sont générés dynamiquement dans le cadre d'un scénario d'automatisation, fournissant ainsi à Hero AI un contexte pertinent en temps réel.

Le message ci-dessous a été généré après le remplacement des variables par les propriétés du playbook Swimlane Turbine mentionnées ci-dessus.

En quelques minutes seulement sur Turbine, nous avons créé un playbook sophistiqué qui s'intègre à de nombreux outils, prend des décisions et notifie les autres équipes. Ce playbook est non seulement efficace et performant, mais il peut également être mis à jour ou amélioré automatiquement lors de la mise à jour des serveurs MCP associés, sans aucune modification du playbook existant. Découvrez son fonctionnement dans cette vidéo de démonstration de 5 minutes.

Analysons ce qui s'est passé.

1. L'IA a récupéré une liste des outils disponibles à l'aide de MCP.
2. L'outil VirusTotal get_domain_report a été sélectionné, et le domaine a été correctement sélectionné et envoyé au serveur VirusTotal MCP pour traitement. 
3. L'IA a interprété la réponse (longue) de VirusTotal et a décidé d'invoquer les étapes Slack.
4. Pour envoyer un message au canal Slack souhaité, le serveur Slack MCP a besoin de l'identifiant du canal. L'IA a donc d'abord utilisé l'outil get_channels pour trouver l'identifiant du canal à partir du nom fourni. 
5. L'IA a ensuite résumé les résultats de VirusTotal dans un message et a invoqué l'outil send_message via le serveur Slack MCP. 
6. L'IA a ensuite rédigé un message supplémentaire, conformément aux instructions initiales, afin de fournir le lien d'approbation sur le canal Slack.
7. Enfin, l'IA a résumé les actions effectuées à l'aide d'une mise à jour de statut et l'a renvoyée au script pour un traitement ultérieur.

Le message Slack obtenu ressemblait à ceci :

L'avenir : une sécurité composable et contextuelle

L'adoption de MCP par Swimlane s'inscrit dans la trajectoire future de l'IA en cybersécurité, une trajectoire qui est :

• Modularité de conception : Les capacités de sécurité modulaires permettent aux agents d'IA de sélectionner les outils et les données selon leurs besoins.
• Prise en compte du contexte : l’IA fonctionne avec une compréhension approfondie et en temps réel des situations spécifiques.
• Collaboration : L'IA complète les analystes humains, automatisant les tâches et libérant les humains pour des travaux stratégiques.

La plateforme MCP est un élément essentiel de la vision de Swimlane : une automatisation de la cybersécurité plus adaptable, extensible et intelligente, pilotée par l’IA. À mesure que l’adoption de MCP se développe, la capacité à connecter et à orchestrer de manière transparente diverses capacités d’IA redéfinira les opérations de sécurité, et Swimlane se positionne à l’avant-garde de cette transformation.