Les données massives et l’analytique au service de la sécurité David Henrad, CISM, CRISC. Directeur sécurité et protection de la vie privée / Information Security & Privacy Director Jocelyn Gascon-Giroux, ing., M.Sc. Architecte Analytique © 2015 IBM Corporation Hack Most Serious Cyberattack Yet on U.S. Interests 76M Households and 7M SMBs Compromised Hack Costs Add Up to $148M (350M in total) 60M Credit Card Numbers Stolen Les cyber menaces présentent des enjeux économique et de sécurité nationale importants Le Président Obama à déclaré: “cyber threat is one of the most serious economic and national security challenges we face as a nation.” Chinese hackers believed to have government links have been conducting wideranging electronic surveillance of media companies including The Wall Street Journal. 3 Cyber attacks prompt U.S. to beef up Pentagon security. U.S. military Cyber Command to grow five-fold over the next few years, from 900 employees presently to nearly 5,000. Hackers orchestrated multiple breaches of Sony's PlayStation Network knocking it offline for 24 days and costing the company an estimated $171 million. Former NSA director tells the Financial Times that a cyber attack could cripple the nation's banking system, power grid, and other essential infrastructure. Activists unleashed the biggest DDoD attack to date in support of web hosting company Cyberbunker, after it was blacklisted by anti-spam website Spamhaus. © 2015 IBM Corporation En 2015, les entreprises vont dépenser plus de $75,4 milliards en sécurité informatique et systèmes de surveillance (50 milliards en 2012) Mais elles se sentent toujours menacée! Pourquoi? 4 © 2015 IBM Corporation Des attaquants bien organisés et des internes malveillants contournent avec succès les défenses de sécurité Infiltrating a trusted partner and then loading malware onto the target’s network Creating designer malware tailored to only infect the target organization, preventing identification by security vendors Escalade des motifs et de la sophistication Espionnage et activisme Acteurs États-Nation Concepteur de logiciels malveillants Porte dérobée Harponnage Persistance Using social networking and social engineering to perform reconnaissance on spear-phishing targets, leading to compromised hosts and accounts Exploiting zero-day vulnerabilities to gain access to data, applications, systems, and endpoints Communicating over accepted channels such as port 80 to exfiltrate data from the organization 5 © 2015 IBM Corporation Apprentissage du Gouvernement américain sur la sécurité des données massives • Corréler en temps réel des facteurs multidimensionnels sur de larges jeux de données • Intégrer les solutions de données massives aux plateformes actuelles et futures de gestion des données afin de diminuer les coûts et assurer l’extensibilité. • Analyser toutes les données persistantes ou pas • Lier les politiques de sécurité aux processus d’affaires, parrainées par un champion pour • Assister les analystes avec des ainsi créer un engouement continue fonctionnalités de visualisation et de recherche avancée 6 © 2015 IBM Corporation La sécurité peut être vue comme un système immunitaire intégré, mis à l'échelle pour les données massives Endpoint patching and management Incident and threat management Virtual patching Network visibility Malware protection Device management Endpoint Content management Mobile Network Application scanning Log, flow and data analysis Anomaly detection Vulnerability assessment Security Intelligence Applications Application security management Fraud protection Advanced Fraud Criminal detection Identity and Access Data Data monitoring Data access control Transaction protection Access management Consulting Services Managed Services Identity management Entitlements and roles 7 Ecosystem Partners IBM X-Force Research © 2015 IBM Corporation Expand the value of security solutions through integration Continuous actionable intelligence BigFix Trusteer Apex QRadar Incident Forensics Network Protection XGS SiteProtector Network QRadar Risk Manager zSecure MobileFirst Protect (MaaS360) Endpoint Mobile MobileFirst Platform (Worklight) Trusteer Mobile QRadar SIEM QRadar Log Manager QRadar Vulnerability Manager AppScan Security Intelligence Applications Trusteer Pinpoint Trusteer Rapport Identity and Access Data Privileged Identity Manager Guardium Suite Key Lifecycle Manager Advanced Fraud Consulting Services Managed Services Access Manager Identity Manager 8 Ecosystem Partners IBM X-Force Research © 2015 IBM Corporation 9 © 2015 IBM Corporation Le changement dans les affaires arrive… s’il n’est pas déjà là Les entreprises subissent des transformations dynamiques Les cyber périmètres et le périmètre physique deviennent flous… cela ne peut plus être assumé 10 © 2015 IBM Corporation Un exemple de l’exploitation de l’apprentissage automatique et des données massives au service de la fraude… 11 © 2015 IBM Corporation Les questions auxquels un CISO veut être capable de répondre… Établir une base de référence • Identifier ce qui doit être protégé ou sous surveillance tout en formulant un profil typique des risques afin de détecter les anomalies Qui sont les cibles de choix dans mon entreprise? Quelles applications et données sensibles doit-on protéger? Quel est le comportement normal des usagers, des actifs et des applications. 12 Menaces persitentes avancées • Prendre connaissance d’un cyberpirate motivé et allumé qui tente de cacher ou de déguiser l’attaque comme des interactions anodines, potentiellement sur une longue période Quels actifs de mon organisation est déjà compromis ou à la veille de l’être? Quel domaine externe est à la source de l’attaque? Y-a-t-il du trafic réseau de faible intensité pouvant m’alerter d’une attaque persistante ou imminente? Qualifier les menaces internes • Identifier ou avertir les usagers dans l’organisation qui peuvent potentiellement commettre des actes dommageables pour l’entreprise Quelles données font l’objet de fuites ou de pertes et qui perpétue ces actions? Prédire l’hactivisme • Émettre une alerte d’attaque possible provenant de groupes ou entités sympathisantes aux causes contraire aux intérêts de l’entreprise Quelles sont les controverses pouvant générées un sentiment négatif à propos de l’organisation augmentant le risque d’une attaque contre cette dernière? Qui à l’interne possède les compétences et les motivations pour mettre à risque les cyberopérations de l’entreprise? Comment surveiller et identifier les intentions d’entités antagonistes aux pratiques commerciales de l’organisation ? Qui exhibe une utilisation anormale des ressources? Comment la publicité de l’entreprise dans les médias impacte t’elle le risque? Contrer les cyberattaques • Informer les parties prenantes d’une attaque éminente ou réelle par des entreprises criminelles ou des groupes subventionnés ou financés par les gouvernements De quelle région géographique proviennent les attaques? Quels outils de piratage peuvent être utilisés et qui y ont accès? Y a-t-il des symptômes d’une attaque éminente ou planifiée qui se manifestent par des problèmes de support? Réduire les fraudes • Découvrir de nouvelles méthodes de fraude qui peuvent compromettre la conformité avec la réglementation ou causer des pertes financières importantes Comment l’organisation peut-elle identifier une activité frauduleuse? Quels usagers ont des identités compromises qui peuvent mener à des activités frauduleuses? Est-ce que les tentatives de fraude connues peuvent mener à la découverte et l’anticipation de modèle prédéfinie? © 2015 IBM Corporation Pourquoi utiliser les données massives en sécurité ? ? Cinq questions aux analystes en sécurité. En répondant « oui » à l’une d’entre elles, il devient impératif d’explorer des solutions de sécurité exploitant les données massives. Désirez-vous analyser et corréler des jeux de données afin de prévenir les cyberattaques, les réclamations frauduleuses et les vols d’identités ? 13 Désirez-vous enrichir vos solutions de sécurité avec des données non structurées telles que les courriels et les médias sociaux afin de mieux détecter et remédier aux cybermenaces? Désirez-vous détecter et surveiller les activités terroristes et criminelles en corrélant un plus grand éventail de sources par association et modélisation ? Désirez-vous rehausser la sécurité et surveillance de vos systèmes avec des données vidéos en temps réel, acoustiques, thermales et autres équipements ou capteurs ? Désirez-vous mieux visualiser des données de sécurité afin de découvrir des menaces insoupçonnées ? © 2015 IBM Corporation Les organization ont besoin d’identifier les menaces et de se protéger en construisant des connaissances à partir de larges jeux de données Traditional Security Operations and Technology Logs Events Alerts System audit trails 1. Analyze a variety of nontraditional and unstructured datasets Configuration information Identity context Network flows and anomalies External threat intelligence feeds E-mail Spreadsheets Web page text Full packet and DNS captures Smart devices Network Traffic Sensors GPS tracking Images Big Data Analytics 14 Social Data blogs, tweets, chats Financial Transactions 3. Visualize and query data in new ways 4. Integrate with my current operations Business process data Customer transactions Satellites 2. Significantly increase the volume of data stored for forensics and historic analysis Telephone Records 5. It is not just size of the data, but need to do more in – depth analytics which cannot be done real-time 6. Analyze streaming data, keep up with velocity of data © 2015 IBM Corporation Nouvelle approche: Intégrer le renseignement de sécurité et l’exploration des données massives Security Intelligence Platform Real-time Processing • Real-time network data correlation • Anomaly detection • Event and flow normalization • Security context & enrichment • Distributed architecture Security Operations • Pre-defined rules and reports • Offense scoring & prioritization • Activity and event graphing • Compliance reporting • Workflow management 15 Big Data Platform Big Data Processing •Long-term, multi-PB storage •Unstructured and structured •Distributed Hadoop infrastructure •Real-time stream computing •Preservation of raw data •Enterprise Integration Analytics and Forensics • Advanced visuals and interaction • Predictive & decision modeling • Ad hoc queries • Interactive visualizations • Collaborative sharing tools • Pluggable, intuitive UI © 2015 IBM Corporation Network Telemetry Monitoring Appliance (Optional) Real-time Ingest & Processing InfoSphere Streams • • • • Video/audio Network Geospatial Predictive Big Data Storage & Analytics InfoSphere BigInsights • • • Text/entity analytics Data mining Machine learning IBM PureData for Analytics • • • Deep analytics Operational analytics Large scale structured data management Criminal Information Tracking System Surveillance Monitoring System Advanced Threat Protection • • • • 16 Security Intelligence Traditional Structured Data Connectors I2 Analyst’s Notebook Connectors Unstructured/Streaming Data Security Intelligence with Big Data Architecture Data collection and enrichment Event correlation Real-time analytics Offense prioritization © 2015 IBM Corporation 16 Exemple de flux de données dans la découverte avancée de cybermenaces Sources de données Centre de sécurité opérationnel Traitement en temps réel 3 1 Internet 4 2 10 NetFlow 1 Web and Email Proxy Unstructured Data Stokage et traitement des données massives 6 Analytique de de données massives et science judiciaire BigSheets 7 5 Hadoop Store Suspicious User(s) 1. 2. 3. 4. 5. 17 8 NetFlow et logs envoyés à QRadar Traitement des événements et flux Correéation avec des sources externes Alertes en temps réel au centre de contrôle des opérations de sécurité (SOC) Données non structurées vers Hadoop BigInsights Optional Relational Store 6. 7. 8. 9. 10. 9 Enrichissement des événements et flux envoyés vers BigInsights Interface usager de type chiffrier pour les analystes d’affaires avec BigSheets Stockage des données Hadoop pour analyse ultérieure Analytiques et visuels basés sur les liens d’i2 Mise à jour en temps réel des jeux de règles d’affaires © 2015 IBM Corporation I2 Analyst’s Notebook Advanced Threat Protection Security Intelligence • • • 18 • Data collection and enrichment Event correlation Real-time analytics Offense prioritization © 2015 IBM Corporation Common Use Cases for Security Intelligence Extension Targeted & advanced threat discovery Customer Protect networks from Problem hackers & foreign attacks. Identify advanced threats Technical Collection of high volume network and DNS events Challenges Rapidly changing identifiers Analytics to find subtle indicators Integration of external intelligence IBM IBM QRadar Approach • Collect security events/flow & Enhanced surveillance insight Crime prediction & protection Improve surveillance by leveraging broader information sources & types Inability to track criminals in real-time to predict and prevent crime Collection & processing of machine data (internet, satellite, video, audio) Unstructured data analysis, correlation, pattern matching Integration with surveillance platform activity workflow 19 19 Text/voice linguistic & identity analysis Behavioral and predictive analysis Integration with intelligence platform Real-time processing and correlation of sensor data InfoSphere BigInsights • Historical baselining and pattern matching InfoSphere BigInsights (Hadoop) IBM i2 (or 3rd party platform) • • Analyze historical data; detect infections / past intrusions Network Appliance (3rd party) InfoSphere Streams Collect all DNS transactions Monitoring of mobile and social media communication InfoSphere Streams correlate with external threats For processing of massive volumes of security event data Visualization and dissemination Tap into internet traffic InfoSphere Streams Real-time processing of Telco and social media traffic IBM SPSS Predictive modeling & scoring IBM i2 (or 3rd party platform) Visualization and dissemination IBM QRadar © 2015 IBM Corporation Global Securities Clearing Corporation Proactively Addressing Cyber Security Threat with Big Data Solution Capabilities • IBM QRadar - Security Intelligence Event Management Platform • InfoSphere BigInsights – enterprise class Hadoop analytics Need • Correlation & anomaly detection of security and network data – real-time and historical • Ability to analyze larger volumes and varieties of data - security, email, social media, business process, transactional, device, and other data Benefits 20 20 • Can now actively ‘hunt’ for cyberattackers targeting their networks © 2015 IBM Corporation TerraEchos uses Big Data with Covert Intelligence and Surveillance Sensor Systems Capabilities • InfoSphere Streams Need • Deployed security surveillance system to detect, classify, locate, and track potential threats at highly sensitive national lab Benefits • Reduces time to capture and analyze 275MB of acoustic data from hours to onefourteenth of a second • Enables analysis of real-time data from different types of sensors and 1,024 individual channels to support extended perimeter security • Enables a faster and more intelligent response to any threat 21 © 2015 IBM Corporation 21 Asian Government Enriching Intelligence Analysis with Big Data to Better Track Terrorists and Criminals Solution Capabilities • InfoSphere Streams, Cognos BI Need • Ability to filter & analyze all Internet traffic (social media, email, etc) • Flag and track persons of interest (drug/sex traffickers, terrorists, illegal immigrants) and civil/border activity. Benefits • Can monitor and correlate Internet data to extract new intelligence in realtime 22 • Will be able to better track suspects and reduce crimes, trafficking, and 22 © 2015 IBM Corporation En conclusion: Les données massives sont profitables pour la sécurité et le renseignement Security/Intelligence Extension enhances traditional security solutions by analyzing all types and sources of under-leveraged data Quoi? Comment? Pourquoi? Protect networks from hackers & foreign attacks Real-time Cyber Attack Prediction & Mitigation Analyze network traffic to: • Discover new threats early • Detect known complex threats • Take action in real-time Analyze vast stores of underleveraged data Enhanced Intelligence & Surveillance Insight Analyze data-in-motion & at rest to: • Find associations • Uncover patterns and facts • Maintain currency of information Improve human activity-based intelligence Crime prediction & protection Analyze Telco & social data to: • Gather criminal evidence • Prevent criminal activities • Proactively apprehend criminals 23 © 2015 IBM Corporation © 2013 IBM Corporation Merci !