les données massives et l’analytique au service de la sécurité · •assister les analystes...
TRANSCRIPT
© 2015 IBM Corporation
Les données massives et l’analytique au service de la sécurité
David Henrad, CISM, CRISC.Directeur sécurité et protection de la vie privée / Information Security & Privacy Director
Jocelyn Gascon-Giroux, ing., M.Sc.
Architecte Analytique
76M Households and 7M SMBs Compromised
60M Credit Card Numbers Stolen
Hack Costs Add Up to $148M (350M in total)
Hack Most Serious Cyberattack Yet on U.S. Interests
© 2015 IBM Corporation3
Cyber attacks prompt U.S.
to beef up Pentagon
security. U.S. military
Cyber Command to grow
five-fold over the next few
years, from 900 employees
presently to nearly 5,000.
Chinese hackers believed to
have government links have
been conducting wide-
ranging electronic
surveillance of media
companies including The
Wall Street Journal.
Le Président Obama à
déclaré: “cyber threat is
one of the most serious
economic and national
security challenges we
face as a nation.”
Former NSA director tells the
Financial Times that a cyber
attack could cripple the
nation's banking system,
power grid, and other
essential infrastructure.
Les cyber menaces présentent des enjeux économique et de sécurité nationale
importants
Hackers orchestrated
multiple breaches of Sony's
PlayStation Network
knocking it offline for 24 days
and costing the company
an estimated $171 million.
Activists unleashed the
biggest DDoD attack to
date in support of web
hosting company
Cyberbunker, after it was
blacklisted by anti-spam
website Spamhaus.
© 2015 IBM Corporation4
En 2015, les entreprises vont dépenser plus de $75,4 milliards en
sécurité informatique et systèmes de surveillance (50 milliards en 2012)
Mais elles se
sentent
toujours
menacée!
Pourquoi?
© 2015 IBM Corporation5
Infiltrating a trusted partner and then loading
malware onto the target’s network
Creating designer malware tailored to only infect
the target organization, preventing identification
by security vendors
Using social networking and social engineering to
perform reconnaissance on spear-phishing
targets, leading to compromised hosts and
accounts
Exploiting zero-day vulnerabilities to gain access
to data, applications, systems, and endpoints
Communicating over accepted channels such as
port 80 to exfiltrate data from the organization
Des attaquants bien organisés et des internes malveillants
contournent avec succès les défenses de sécurité
Concepteur de logiciels
malveillants Porte dérobée
Harponnage Persistance
Escalade des motifs et de la
sophistication
Espionnage et activisme
Acteurs États-Nation
© 2015 IBM Corporation6
Apprentissage du Gouvernement américain sur la sécurité des données massives
• Corréler en temps réel des facteurs
multidimensionnels sur de larges jeux de
données
• Analyser toutes les données persistantes ou
pas
• Assister les analystes avec des
fonctionnalités de visualisation et de
recherche avancée
• Intégrer les solutions de données massives
aux plateformes actuelles et futures de
gestion des données afin de diminuer les
coûts et assurer l’extensibilité.
• Lier les politiques de sécurité aux processus
d’affaires, parrainées par un champion pour
ainsi créer un engouement continue
© 2015 IBM Corporation7
ConsultingServices
IBM X-Force Research
Managed Services
Endpoint
AdvancedFraud
Data
MobileNetwork
Applications
Identityand Access
Endpoint patchingand management
Malware protection
Fraud protection
Criminal detection
Data access control
Data monitoring
Device management
Content management
Network visibility
Application security management
Access management
Identity management
Entitlements and roles
Application scanning
Virtual patching
Transaction protection
Log, flow and data analysis
Anomaly detection
Vulnerability assessment
Incident and threat management
Security Intelligence
Ecosystem Partners
La sécurité peut être vue comme un système immunitaire intégré, mis à l'échelle pour les
données massives
© 2015 IBM Corporation8
Expand the value of security solutions through integrationContinuous actionable intelligence
ConsultingServices
IBM X-Force Research
Managed Services
Trusteer Apex
Endpoint
zSecure
BigFix
AdvancedFraud
Trusteer Pinpoint
Trusteer Rapport
Data
Key Lifecycle Manager
Guardium Suite
Mobile
MobileFirst Protect(MaaS360)
MobileFirst Platform(Worklight)
Network
Network Protection XGS
SiteProtector
Applications
AppScan
Identityand Access
Privileged Identity Manager
Access Manager
Identity Manager
QRadar SIEM
QRadar Log Manager
QRadar Vulnerability Manager
QRadarIncident Forensics
QRadar RiskManager
Ecosystem Partners
Trusteer Mobile
Security Intelligence
© 2015 IBM Corporation9
© 2015 IBM Corporation10
Le changement dans les affaires arrive… s’il n’est pas déjà là
Les entreprises subissent des transformations dynamiques
Les cyber périmètres et le périmètre physique deviennent flous… cela ne peut plus être assumé
© 2015 IBM Corporation11
Un exemple de l’exploitation de l’apprentissage automatique et des données massives
au service de la fraude…
© 2015 IBM Corporation12
Les questions auxquels un CISO veut être capable de répondre…
Établir une base
de référence
• Identifier ce qui doit
être protégé ou
sous surveillance
tout en formulant un
profil typique des
risques afin de
détecter les
anomalies
Qui sont les cibles
de choix dans
mon entreprise?
Quelles
applications et
données
sensibles doit-on
protéger?
Quel est le
comportement
normal des
usagers, des
actifs et des
applications.
Qualifier les
menaces internes
• Identifier ou avertir les
usagers dans
l’organisation qui
peuvent
potentiellement
commettre des actes
dommageables pour
l’entreprise
Quelles données font
l’objet de fuites ou de
pertes et qui
perpétue ces
actions?
Qui à l’interne
possède les
compétences et les
motivations pour
mettre à risque les
cyberopérations de
l’entreprise?
Qui exhibe une
utilisation anormale
des ressources?
Réduire les fraudes
• Découvrir de nouvelles
méthodes de fraude qui
peuvent compromettre la
conformité avec la
réglementation ou
causer des pertes
financières importantes
Comment
l’organisation peut-elle
identifier une activité
frauduleuse?
Quels usagers ont des
identités compromises
qui peuvent mener à
des activités
frauduleuses?
Est-ce que les
tentatives de fraude
connues peuvent
mener à la découverte
et l’anticipation de
modèle prédéfinie?
Contrer les
cyberattaques
• Informer les parties
prenantes d’une
attaque éminente ou
réelle par des
entreprises criminelles
ou des groupes
subventionnés ou
financés par les
gouvernements
De quelle région
géographique
proviennent les
attaques?
Quels outils de
piratage peuvent
être utilisés et qui y
ont accès?
Y a-t-il des
symptômes d’une
attaque éminente ou
planifiée qui se
manifestent par des
problèmes de
support?
Menaces
persitentes
avancées
• Prendre connaissance
d’un cyberpirate motivé
et allumé qui tente de
cacher ou de déguiser
l’attaque comme des
interactions anodines,
potentiellement sur une
longue période
Quels actifs de mon
organisation est déjà
compromis ou à la
veille de l’être?
Quel domaine
externe est à la
source de l’attaque?
Y-a-t-il du trafic
réseau de faible
intensité pouvant
m’alerter d’une
attaque persistante
ou imminente?
Prédire l’hactivisme
• Émettre une alerte
d’attaque possible
provenant de groupes
ou entités
sympathisantes aux
causes contraire aux
intérêts de l’entreprise
Quelles sont les
controverses pouvant
générées un sentiment
négatif à propos de
l’organisation
augmentant le risque
d’une attaque contre
cette dernière?
Comment surveiller et
identifier les intentions
d’entités antagonistes
aux pratiques
commerciales de
l’organisation ?
Comment la publicité
de l’entreprise dans
les médias impacte
t’elle le risque?
© 2015 IBM Corporation13
Pourquoi utiliser les données massives en sécurité ?
Désirez-vous analyser et corréler des jeux de données afin de prévenir les cyberattaques, les réclamations frauduleuses et les vols d’identités ?
Désirez-vous enrichir vos solutions de sécurité avec des données non structurées telles que les courriels et les médias sociaux afin de mieux détecter et remédier aux cybermenaces?
Désirez-vous détecter et surveiller les activités terroristes et criminelles en corrélant un plus grand éventail de sources par association et modélisation ?
Désirez-vous rehausser la sécurité et surveillance de vos systèmes avec des données vidéos en temps réel, acoustiques, thermales et autres équipements ou capteurs ?
Désirez-vous mieux visualiser des données de sécurité afin de découvrir des menaces insoupçonnées ?
Cinq questions aux analystes en sécurité. En répondant « oui » à l’une d’entre elles, il devient impératif d’explorer des solutions de sécurité exploitant les données massives.
?
© 2015 IBM Corporation14
Les organization ont besoin d’identifier les menaces et de se protéger en construisant
des connaissances à partir de larges jeux de données
1. Analyze a variety of non-
traditional and unstructured
datasets
2. Significantly increase the volume
of data stored for forensics and
historic analysis
3. Visualize and query data in new
ways
4. Integrate with my current
operations
5. It is not just size of the data, but
need to do more in – depth
analytics which cannot be done
real-time
6. Analyze streaming data, keep up
with velocity of dataBig Data
Analytics
Logs
Events Alerts
Traditional Security
Operations and
Technology
Configuration
informationSystem
audit trails
External threat
intelligence feeds
Network flows
and anomalies
Identity context
Web page
text
Full packet and
DNS captures
Business
process dataCustomer
transactions
Social Data -
blogs, tweets,
chats
Satellites
GPS tracking
Smart devicesNetwork Traffic
Sensors
Images
Spreadsheets
Financial
Transactions
Telephone
Records
© 2015 IBM Corporation15
Big Data Processing
•Long-term, multi-PB storage
•Unstructured and structured
•Distributed Hadoop infrastructure
•Real-time stream computing
•Preservation of raw data
•Enterprise Integration
Big Data
Platform
Analytics and Forensics
• Advanced visuals and interaction
• Predictive & decision modeling
• Ad hoc queries
• Interactive visualizations
• Collaborative sharing tools
• Pluggable, intuitive UI
Security Intelligence
Platform
Real-time Processing
• Real-time network data correlation
• Anomaly detection
• Event and flow normalization
• Security context & enrichment
• Distributed architecture
Security Operations
• Pre-defined rules and reports
• Offense scoring &
prioritization
• Activity and event graphing
• Compliance reporting
• Workflow
management
Nouvelle approche: Intégrer le renseignement de sécurité et l’exploration des données
massives
© 2015 IBM Corporation16
Security Intelligence
Co
nn
ecto
rs
IBM PureData for Analytics Surveillance
Monitoring System
Criminal Information Tracking System
Co
nn
ecto
rs
Un
str
uctu
red
/Str
eam
ing
Data T
rad
ition
al S
truc
ture
d D
ata
• Deep analytics
• Operational analytics
• Large scale structured data management
Netw
ork
Te
lem
etr
y M
on
ito
rin
g
Ap
pli
an
ce
(O
pti
on
al)
InfoSphereStreams
Real-time Ingest & Processing
• Video/audio• Network• Geospatial• Predictive
Big Data Storage & Analytics
InfoSphereBigInsights
• Text/entity analytics• Data mining• Machine learning
I2 Analyst’s Notebook
Security Intelligence with Big Data Architecture
Advanced Threat Protection
• Data collection and enrichment
• Event correlation• Real-time analytics• Offense prioritization
16
© 2015 IBM Corporation17
Web and
Email Proxy
Exemple de flux de données dans la découverte avancée de cybermenaces
NetFlow
Optional
Relational Store
Unstructured
Data5
1
1
10
98
6
2
Hadoop Store
Stokage et
traitement des
données massives
Analytique de de
données massives et
science judiciaire
Sources de
donnéesTraitement en temps réel Centre de sécurité opérationnel
3
7
Suspicious
User(s)
Internet 4
1. NetFlow et logs envoyés à QRadar
2. Traitement des événements et flux
3. Correéation avec des sources externes
4. Alertes en temps réel au centre de contrôle des opérations de sécurité (SOC)
5. Données non structurées vers Hadoop -BigInsights
6. Enrichissement des événements et flux envoyés vers BigInsights
7. Interface usager de type chiffrier pour les analystes d’affaires avec BigSheets
8. Stockage des données Hadoop pour analyse ultérieure
9. Analytiques et visuels basés sur les liens d’i2
10. Mise à jour en temps réel des jeux de règles d’affaires
BigSheets
© 2015 IBM Corporation18
I2 Analyst’s Notebook
Security Intelligence
Advanced Threat Protection
• Data collection and enrichment
• Event correlation• Real-time analytics• Offense prioritization
© 2015 IBM Corporation19
Targeted &
advanced threat
discovery
Crime
prediction &
protection
Enhanced
surveillance
insight
Customer
Problem
Protect networks from
hackers & foreign
attacks. Identify
advanced threats
Improve surveillance by
leveraging broader
information sources & types
Inability to track criminals in
real-time to predict and
prevent crime
Technical
Challenges
Collection of high volume
network and DNS events
Rapidly changing
identifiers
Analytics to find subtle
indicators
Integration of external
intelligence
Collection & processing of
machine data (internet,
satellite, video, audio)
Unstructured data analysis,
correlation, pattern
matching
Integration with surveillance
platform activity workflow
Monitoring of mobile and
social media communication
Text/voice linguistic &
identity analysis
Behavioral and predictive
analysis
Integration with intelligence
platform
IBM
Approach
IBM QRadar
• Collect security events/flow &
correlate with external threats
InfoSphere Streams
• For processing of massive
volumes of security event data
InfoSphere BigInsights (Hadoop)
• Collect all DNS transactions
• Analyze historical data; detect
infections / past intrusions
InfoSphere Streams
Real-time processing and
correlation of sensor data
InfoSphere BigInsights
Historical baselining and
pattern matching
IBM i2 (or 3rd party platform)
Visualization and dissemination
Network Appliance (3rd party)
Tap into internet traffic
InfoSphere Streams
Real-time processing of Telco
and social media traffic
IBM SPSS
Predictive modeling & scoring
IBM i2 (or 3rd party platform)
Visualization and dissemination
IBM QRadar
Common Use Cases for Security Intelligence Extension
19
© 2015 IBM Corporation20
Global Securities Clearing
Corporation Proactively
Addressing Cyber Security
Threat with Big Data
Solution Capabilities
• IBM QRadar - Security Intelligence Event Management Platform
• InfoSphere BigInsights – enterprise class Hadoop analytics
Need
• Correlation & anomaly detection of
security and network data – real-time and
historical
• Ability to analyze larger volumes and
varieties of data - security, email, social
media, business process, transactional,
device, and other data
Benefits
• Can now actively ‘hunt’ for cyber-
attackers targeting their networks2020
© 2015 IBM Corporation21
TerraEchos uses Big Data
with Covert Intelligence and
Surveillance Sensor Systems
Capabilities
• InfoSphere Streams
Need
• Deployed security surveillance system to
detect, classify, locate, and track potential
threats at highly sensitive national lab
Benefits
• Reduces time to capture and analyze
275MB of acoustic data from hours to one-
fourteenth of a second
• Enables analysis of real-time data from
different types of sensors and 1,024
individual channels to support extended
perimeter security
• Enables a faster and more intelligent
response to any threat
2121
© 2015 IBM Corporation22
Asian Government Enriching
Intelligence Analysis with Big
Data to Better Track
Terrorists and Criminals
Solution Capabilities
• InfoSphere Streams, Cognos BI
Need
• Ability to filter & analyze all Internet
traffic (social media, email, etc)
• Flag and track persons of interest
(drug/sex traffickers, terrorists, illegal
immigrants) and civil/border activity.
Benefits
• Can monitor and correlate Internet
data to extract new intelligence in real-
time
• Will be able to better track suspects
and reduce crimes, trafficking, and
illegal immigration2222
© 2015 IBM Corporation23
En conclusion: Les données massives sont profitables pour la sécurité et le renseignement
© 2013 IBM Corporation
Security/Intelligence Extension enhances traditional security solutions by analyzing all types and sources of under-leveraged data
Enhanced
Intelligence &
Surveillance
Insight
Analyze vast
stores of under-
leveraged data
Analyze data-in-motion & at rest to:
• Find associations
• Uncover patterns and facts
• Maintain currency of information
Real-time Cyber
Attack Prediction
& Mitigation
Analyze network traffic to:
• Discover new threats early
• Detect known complex threats
• Take action in real-time
Protect networks
from hackers &
foreign attacks
Analyze Telco & social data to:
• Gather criminal evidence
• Prevent criminal activities
• Proactively apprehend criminals
Crime prediction
& protection
Improve human
activity-based
intelligence
Quoi? Comment? Pourquoi?
Merci !