© 2015 IBM Corporation

Les données massives et l’analytique au service de la sécurité

David Henrad, CISM, CRISC.Directeur sécurité et protection de la vie privée / Information Security & Privacy Director

Jocelyn Gascon-Giroux, ing., M.Sc.

Architecte Analytique

76M Households and 7M SMBs Compromised

60M Credit Card Numbers Stolen

Hack Costs Add Up to $148M (350M in total)

Hack Most Serious Cyberattack Yet on U.S. Interests

© 2015 IBM Corporation3

Cyber attacks prompt U.S.

to beef up Pentagon

security. U.S. military

Cyber Command to grow

five-fold over the next few

years, from 900 employees

presently to nearly 5,000.

Chinese hackers believed to

have government links have

been conducting wide-

ranging electronic

surveillance of media

companies including The

Wall Street Journal.

Le Président Obama à

déclaré: “cyber threat is

one of the most serious

economic and national

security challenges we

face as a nation.”

Former NSA director tells the

Financial Times that a cyber

attack could cripple the

nation's banking system,

power grid, and other

essential infrastructure.

Les cyber menaces présentent des enjeux économique et de sécurité nationale

importants

Hackers orchestrated

multiple breaches of Sony's

PlayStation Network

knocking it offline for 24 days

and costing the company

an estimated $171 million.

Activists unleashed the

biggest DDoD attack to

date in support of web

hosting company

Cyberbunker, after it was

blacklisted by anti-spam

website Spamhaus.

© 2015 IBM Corporation4

En 2015, les entreprises vont dépenser plus de $75,4 milliards en

sécurité informatique et systèmes de surveillance (50 milliards en 2012)

Mais elles se

sentent

toujours

menacée!

Pourquoi?

© 2015 IBM Corporation5

Infiltrating a trusted partner and then loading

malware onto the target’s network

Creating designer malware tailored to only infect

the target organization, preventing identification

by security vendors

Using social networking and social engineering to

perform reconnaissance on spear-phishing

targets, leading to compromised hosts and

accounts

Exploiting zero-day vulnerabilities to gain access

to data, applications, systems, and endpoints

Communicating over accepted channels such as

port 80 to exfiltrate data from the organization

Des attaquants bien organisés et des internes malveillants

contournent avec succès les défenses de sécurité

Concepteur de logiciels

malveillants Porte dérobée

Harponnage Persistance

Escalade des motifs et de la

sophistication

Espionnage et activisme

Acteurs États-Nation

© 2015 IBM Corporation6

Apprentissage du Gouvernement américain sur la sécurité des données massives

• Corréler en temps réel des facteurs

multidimensionnels sur de larges jeux de

données

• Analyser toutes les données persistantes ou

pas

• Assister les analystes avec des

fonctionnalités de visualisation et de

recherche avancée

• Intégrer les solutions de données massives

aux plateformes actuelles et futures de

gestion des données afin de diminuer les

coûts et assurer l’extensibilité.

• Lier les politiques de sécurité aux processus

d’affaires, parrainées par un champion pour

ainsi créer un engouement continue

© 2015 IBM Corporation7

ConsultingServices

IBM X-Force Research

Managed Services

Endpoint

AdvancedFraud

Data

MobileNetwork

Applications

Identityand Access

Endpoint patchingand management

Malware protection

Fraud protection

Criminal detection

Data access control

Data monitoring

Device management

Content management

Network visibility

Application security management

Access management

Identity management

Entitlements and roles

Application scanning

Virtual patching

Transaction protection

Log, flow and data analysis

Anomaly detection

Vulnerability assessment

Incident and threat management

Security Intelligence

Ecosystem Partners

La sécurité peut être vue comme un système immunitaire intégré, mis à l'échelle pour les

données massives

© 2015 IBM Corporation8

Expand the value of security solutions through integrationContinuous actionable intelligence

ConsultingServices

IBM X-Force Research

Managed Services

Trusteer Apex

Endpoint

zSecure

BigFix

AdvancedFraud

Trusteer Pinpoint

Trusteer Rapport

Data

Key Lifecycle Manager

Guardium Suite

Mobile

MobileFirst Protect(MaaS360)

MobileFirst Platform(Worklight)

Network

Network Protection XGS

SiteProtector

Applications

AppScan

Identityand Access

Privileged Identity Manager

Access Manager

Identity Manager

QRadar SIEM

QRadar Log Manager

QRadar Vulnerability Manager

QRadarIncident Forensics

QRadar RiskManager

Ecosystem Partners

Trusteer Mobile

Security Intelligence

© 2015 IBM Corporation9

© 2015 IBM Corporation10

Le changement dans les affaires arrive… s’il n’est pas déjà là

Les entreprises subissent des transformations dynamiques

Les cyber périmètres et le périmètre physique deviennent flous… cela ne peut plus être assumé

© 2015 IBM Corporation11

Un exemple de l’exploitation de l’apprentissage automatique et des données massives

au service de la fraude…

© 2015 IBM Corporation12

Les questions auxquels un CISO veut être capable de répondre…

Établir une base

de référence

• Identifier ce qui doit

être protégé ou

sous surveillance

tout en formulant un

profil typique des

risques afin de

détecter les

anomalies

Qui sont les cibles

de choix dans

mon entreprise?

Quelles

applications et

données

sensibles doit-on

protéger?

Quel est le

comportement

normal des

usagers, des

actifs et des

applications.

Qualifier les

menaces internes

• Identifier ou avertir les

usagers dans

l’organisation qui

peuvent

potentiellement

commettre des actes

dommageables pour

l’entreprise

Quelles données font

l’objet de fuites ou de

pertes et qui

perpétue ces

actions?

Qui à l’interne

possède les

compétences et les

motivations pour

mettre à risque les

cyberopérations de

l’entreprise?

Qui exhibe une

utilisation anormale

des ressources?

Réduire les fraudes

• Découvrir de nouvelles

méthodes de fraude qui

peuvent compromettre la

conformité avec la

réglementation ou

causer des pertes

financières importantes

Comment

l’organisation peut-elle

identifier une activité

frauduleuse?

Quels usagers ont des

identités compromises

qui peuvent mener à

des activités

frauduleuses?

Est-ce que les

tentatives de fraude

connues peuvent

mener à la découverte

et l’anticipation de

modèle prédéfinie?

Contrer les

cyberattaques

• Informer les parties

prenantes d’une

attaque éminente ou

réelle par des

entreprises criminelles

ou des groupes

subventionnés ou

financés par les

gouvernements

De quelle région

géographique

proviennent les

attaques?

Quels outils de

piratage peuvent

être utilisés et qui y

ont accès?

Y a-t-il des

symptômes d’une

attaque éminente ou

planifiée qui se

manifestent par des

problèmes de

support?

Menaces

persitentes

avancées

• Prendre connaissance

d’un cyberpirate motivé

et allumé qui tente de

cacher ou de déguiser

l’attaque comme des

interactions anodines,

potentiellement sur une

longue période

Quels actifs de mon

organisation est déjà

compromis ou à la

veille de l’être?

Quel domaine

externe est à la

source de l’attaque?

Y-a-t-il du trafic

réseau de faible

intensité pouvant

m’alerter d’une

attaque persistante

ou imminente?

Prédire l’hactivisme

• Émettre une alerte

d’attaque possible

provenant de groupes

ou entités

sympathisantes aux

causes contraire aux

intérêts de l’entreprise

Quelles sont les

controverses pouvant

générées un sentiment

négatif à propos de

l’organisation

augmentant le risque

d’une attaque contre

cette dernière?

Comment surveiller et

identifier les intentions

d’entités antagonistes

aux pratiques

commerciales de

l’organisation ?

Comment la publicité

de l’entreprise dans

les médias impacte

t’elle le risque?

© 2015 IBM Corporation13

Pourquoi utiliser les données massives en sécurité ?

Désirez-vous analyser et corréler des jeux de données afin de prévenir les cyberattaques, les réclamations frauduleuses et les vols d’identités ?

Désirez-vous enrichir vos solutions de sécurité avec des données non structurées telles que les courriels et les médias sociaux afin de mieux détecter et remédier aux cybermenaces?

Désirez-vous détecter et surveiller les activités terroristes et criminelles en corrélant un plus grand éventail de sources par association et modélisation ?

Désirez-vous rehausser la sécurité et surveillance de vos systèmes avec des données vidéos en temps réel, acoustiques, thermales et autres équipements ou capteurs ?

Désirez-vous mieux visualiser des données de sécurité afin de découvrir des menaces insoupçonnées ?

Cinq questions aux analystes en sécurité. En répondant « oui » à l’une d’entre elles, il devient impératif d’explorer des solutions de sécurité exploitant les données massives.

?

© 2015 IBM Corporation14

Les organization ont besoin d’identifier les menaces et de se protéger en construisant

des connaissances à partir de larges jeux de données

1. Analyze a variety of non-

traditional and unstructured

datasets

2. Significantly increase the volume

of data stored for forensics and

historic analysis

3. Visualize and query data in new

ways

4. Integrate with my current

operations

5. It is not just size of the data, but

need to do more in – depth

analytics which cannot be done

real-time

6. Analyze streaming data, keep up

with velocity of dataBig Data

Analytics

Logs

Events Alerts

Traditional Security

Operations and

Technology

Configuration

informationSystem

audit trails

External threat

intelligence feeds

Network flows

and anomalies

Identity context

Web page

text

Full packet and

DNS captures

E-mail

Business

process dataCustomer

transactions

Social Data -

blogs, tweets,

chats

Satellites

GPS tracking

Smart devicesNetwork Traffic

Sensors

Images

Spreadsheets

Financial

Transactions

Telephone

Records

© 2015 IBM Corporation15

Big Data Processing

•Long-term, multi-PB storage

•Unstructured and structured

•Distributed Hadoop infrastructure

•Real-time stream computing

•Preservation of raw data

•Enterprise Integration

Big Data

Platform

Analytics and Forensics

• Advanced visuals and interaction

• Predictive & decision modeling

• Ad hoc queries

• Interactive visualizations

• Collaborative sharing tools

• Pluggable, intuitive UI

Security Intelligence

Platform

Real-time Processing

• Real-time network data correlation

• Anomaly detection

• Event and flow normalization

• Security context & enrichment

• Distributed architecture

Security Operations

• Pre-defined rules and reports

• Offense scoring &

prioritization

• Activity and event graphing

• Compliance reporting

• Workflow

management

Nouvelle approche: Intégrer le renseignement de sécurité et l’exploration des données

massives

© 2015 IBM Corporation16

Security Intelligence

Co

nn

ecto

rs

IBM PureData for Analytics Surveillance

Monitoring System

Criminal Information Tracking System

Co

nn

ecto

rs

Un

str

uctu

red

/Str

eam

ing

Data T

rad

ition

al S

truc

ture

d D

ata

• Deep analytics

• Operational analytics

• Large scale structured data management

Netw

ork

Te

lem

etr

y M

on

ito

rin

g

Ap

pli

an

ce

(O

pti

on

al)

InfoSphereStreams

Real-time Ingest & Processing

• Video/audio• Network• Geospatial• Predictive

Big Data Storage & Analytics

InfoSphereBigInsights

• Text/entity analytics• Data mining• Machine learning

I2 Analyst’s Notebook

Security Intelligence with Big Data Architecture

Advanced Threat Protection

• Data collection and enrichment

• Event correlation• Real-time analytics• Offense prioritization

16

© 2015 IBM Corporation17

Web and

Email Proxy

Exemple de flux de données dans la découverte avancée de cybermenaces

NetFlow

Optional

Relational Store

Unstructured

Data5

1

1

10

98

6

2

Hadoop Store

Stokage et

traitement des

données massives

Analytique de de

données massives et

science judiciaire

Sources de

donnéesTraitement en temps réel Centre de sécurité opérationnel

3

7

Suspicious

User(s)

Internet 4

1. NetFlow et logs envoyés à QRadar

2. Traitement des événements et flux

3. Correéation avec des sources externes

4. Alertes en temps réel au centre de contrôle des opérations de sécurité (SOC)

5. Données non structurées vers Hadoop -BigInsights

6. Enrichissement des événements et flux envoyés vers BigInsights

7. Interface usager de type chiffrier pour les analystes d’affaires avec BigSheets

8. Stockage des données Hadoop pour analyse ultérieure

9. Analytiques et visuels basés sur les liens d’i2

10. Mise à jour en temps réel des jeux de règles d’affaires

BigSheets

© 2015 IBM Corporation18

I2 Analyst’s Notebook

Security Intelligence

Advanced Threat Protection

• Data collection and enrichment

• Event correlation• Real-time analytics• Offense prioritization

© 2015 IBM Corporation19

Targeted &

advanced threat

discovery

Crime

prediction &

protection

Enhanced

surveillance

insight

Customer

Problem

Protect networks from

hackers & foreign

attacks. Identify

advanced threats

Improve surveillance by

leveraging broader

information sources & types

Inability to track criminals in

real-time to predict and

prevent crime

Technical

Challenges

Collection of high volume

network and DNS events

Rapidly changing

identifiers

Analytics to find subtle

indicators

Integration of external

intelligence

Collection & processing of

machine data (internet,

satellite, video, audio)

Unstructured data analysis,

correlation, pattern

matching

Integration with surveillance

platform activity workflow

Monitoring of mobile and

social media communication

Text/voice linguistic &

identity analysis

Behavioral and predictive

analysis

Integration with intelligence

platform

IBM

Approach

IBM QRadar

• Collect security events/flow &

correlate with external threats

InfoSphere Streams

• For processing of massive

volumes of security event data

InfoSphere BigInsights (Hadoop)

• Collect all DNS transactions

• Analyze historical data; detect

infections / past intrusions

InfoSphere Streams

Real-time processing and

correlation of sensor data

InfoSphere BigInsights

Historical baselining and

pattern matching

IBM i2 (or 3rd party platform)

Visualization and dissemination

Network Appliance (3rd party)

Tap into internet traffic

InfoSphere Streams

Real-time processing of Telco

and social media traffic

IBM SPSS

Predictive modeling & scoring

IBM i2 (or 3rd party platform)

Visualization and dissemination

IBM QRadar

Common Use Cases for Security Intelligence Extension

19

© 2015 IBM Corporation20

Global Securities Clearing

Corporation Proactively

Addressing Cyber Security

Threat with Big Data

Solution Capabilities

• IBM QRadar - Security Intelligence Event Management Platform

• InfoSphere BigInsights – enterprise class Hadoop analytics

Need

• Correlation & anomaly detection of

security and network data – real-time and

historical

• Ability to analyze larger volumes and

varieties of data - security, email, social

media, business process, transactional,

device, and other data

Benefits

• Can now actively ‘hunt’ for cyber-

attackers targeting their networks2020

© 2015 IBM Corporation21

TerraEchos uses Big Data

with Covert Intelligence and

Surveillance Sensor Systems

Capabilities

• InfoSphere Streams

Need

• Deployed security surveillance system to

detect, classify, locate, and track potential

threats at highly sensitive national lab

Benefits

• Reduces time to capture and analyze

275MB of acoustic data from hours to one-

fourteenth of a second

• Enables analysis of real-time data from

different types of sensors and 1,024

individual channels to support extended

perimeter security

• Enables a faster and more intelligent

response to any threat

2121

© 2015 IBM Corporation22

Asian Government Enriching

Intelligence Analysis with Big

Data to Better Track

Terrorists and Criminals

Solution Capabilities

• InfoSphere Streams, Cognos BI

Need

• Ability to filter & analyze all Internet

traffic (social media, email, etc)

• Flag and track persons of interest

(drug/sex traffickers, terrorists, illegal

immigrants) and civil/border activity.

Benefits

• Can monitor and correlate Internet

data to extract new intelligence in real-

time

• Will be able to better track suspects

and reduce crimes, trafficking, and

illegal immigration2222

© 2015 IBM Corporation23

En conclusion: Les données massives sont profitables pour la sécurité et le renseignement

© 2013 IBM Corporation

Security/Intelligence Extension enhances traditional security solutions by analyzing all types and sources of under-leveraged data

Enhanced

Intelligence &

Surveillance

Insight

Analyze vast

stores of under-

leveraged data

Analyze data-in-motion & at rest to:

• Find associations

• Uncover patterns and facts

• Maintain currency of information

Real-time Cyber

Attack Prediction

& Mitigation

Analyze network traffic to:

• Discover new threats early

• Detect known complex threats

• Take action in real-time

Protect networks

from hackers &

foreign attacks

Analyze Telco & social data to:

• Gather criminal evidence

• Prevent criminal activities

• Proactively apprehend criminals

Crime prediction

& protection

Improve human

activity-based

intelligence

Quoi? Comment? Pourquoi?

Merci !