Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Entreprise
  2. Management

Lien vers la présentation

publicité 
Les données massives et l’analytique au service de la sécurité
David Henrad, CISM, CRISC.
Directeur sécurité et protection de la vie privée / Information Security & Privacy Director
Jocelyn Gascon-Giroux, ing., M.Sc.
Architecte Analytique
© 2015 IBM Corporation
Hack Most Serious
Cyberattack Yet
on U.S. Interests
76M Households
and 7M SMBs
Compromised
Hack Costs Add
Up to $148M
(350M in total)
60M Credit Card
Numbers Stolen
Les cyber menaces présentent des enjeux économique et de sécurité nationale
importants
Le Président Obama à
déclaré: “cyber threat is
one of the most serious
economic and national
security challenges we
face as a nation.”
Chinese hackers believed to
have government links have
been conducting wideranging electronic
surveillance of media
companies including The
Wall Street Journal.
3
Cyber attacks prompt U.S.
to beef up Pentagon
security. U.S. military
Cyber Command to grow
five-fold over the next few
years, from 900 employees
presently to nearly 5,000.
Hackers orchestrated
multiple breaches of Sony's
PlayStation Network
knocking it offline for 24 days
and costing the company
an estimated $171 million.
Former NSA director tells the
Financial Times that a cyber
attack could cripple the
nation's banking system,
power grid, and other
essential infrastructure.
Activists unleashed the
biggest DDoD attack to
date in support of web
hosting company
Cyberbunker, after it was
blacklisted by anti-spam
website Spamhaus.
© 2015 IBM Corporation
En 2015, les entreprises vont dépenser plus de $75,4 milliards en
sécurité informatique et systèmes de surveillance (50 milliards en 2012)
Mais elles se
sentent
toujours
menacée!
Pourquoi?
4
© 2015 IBM Corporation
Des attaquants bien organisés et des internes malveillants
contournent avec succès les défenses de sécurité
Infiltrating a trusted partner and then loading
malware onto the target’s network
Creating designer malware tailored to only infect
the target organization, preventing identification
by security vendors
Escalade des motifs et de la
sophistication
 Espionnage et activisme
 Acteurs États-Nation
Concepteur de logiciels
malveillants
Porte dérobée
Harponnage
Persistance
Using social networking and social engineering to
perform reconnaissance on spear-phishing
targets, leading to compromised hosts and
accounts
Exploiting zero-day vulnerabilities to gain access
to data, applications, systems, and endpoints
Communicating over accepted channels such as
port 80 to exfiltrate data from the organization
5
© 2015 IBM Corporation
Apprentissage du Gouvernement américain sur la sécurité des données massives
• Corréler en temps réel des facteurs
multidimensionnels sur de larges jeux de
données
• Intégrer les solutions de données massives
aux plateformes actuelles et futures de
gestion des données afin de diminuer les
coûts et assurer l’extensibilité.
• Analyser toutes les données persistantes ou
pas
• Lier les politiques de sécurité aux processus
d’affaires, parrainées par un champion pour
• Assister les analystes avec des
ainsi créer un engouement continue
fonctionnalités de visualisation et de
recherche avancée
6
© 2015 IBM Corporation
La sécurité peut être vue comme un système immunitaire intégré, mis à l'échelle pour les
données massives
Endpoint patching
and management
Incident
and threat
management
Virtual patching
Network visibility
Malware
protection
Device management
Endpoint
Content management
Mobile
Network
Application
scanning
Log, flow and
data analysis
Anomaly
detection
Vulnerability
assessment
Security
Intelligence
Applications
Application
security
management
Fraud
protection
Advanced
Fraud
Criminal
detection
Identity
and Access
Data
Data monitoring
Data access control
Transaction protection
Access management
Consulting
Services
Managed
Services
Identity management
Entitlements and roles
7
Ecosystem Partners
IBM X-Force Research
© 2015 IBM Corporation
Expand the value of security solutions through integration
Continuous actionable intelligence
BigFix
Trusteer Apex
QRadar
Incident
Forensics
Network
Protection XGS
SiteProtector
Network
QRadar
Risk
Manager
zSecure
MobileFirst Protect
(MaaS360)
Endpoint
Mobile
MobileFirst Platform
(Worklight)
Trusteer
Mobile
QRadar SIEM
QRadar Log
Manager
QRadar Vulnerability
Manager
AppScan
Security
Intelligence
Applications
Trusteer
Pinpoint
Trusteer
Rapport
Identity
and Access
Data
Privileged Identity Manager
Guardium Suite
Key Lifecycle Manager
Advanced
Fraud
Consulting
Services
Managed
Services
Access Manager
Identity Manager
8
Ecosystem Partners
IBM X-Force Research
© 2015 IBM Corporation
9
© 2015 IBM Corporation
Le changement dans les affaires arrive… s’il n’est pas déjà là
Les entreprises subissent des transformations dynamiques
Les cyber périmètres et le périmètre physique deviennent flous… cela ne peut plus être assumé
10
© 2015 IBM Corporation
Un exemple de l’exploitation de l’apprentissage automatique et des données massives
au service de la fraude…
11
© 2015 IBM Corporation
Les questions auxquels un CISO veut être capable de répondre…
Établir une base
de référence
• Identifier ce qui doit
être protégé ou
sous surveillance
tout en formulant un
profil typique des
risques afin de
détecter les
anomalies
 Qui sont les cibles
de choix dans
mon entreprise?
 Quelles
applications et
données
sensibles doit-on
protéger?
 Quel est le
comportement
normal des
usagers, des
actifs et des
applications.
12
Menaces
persitentes
avancées
• Prendre connaissance
d’un cyberpirate motivé
et allumé qui tente de
cacher ou de déguiser
l’attaque comme des
interactions anodines,
potentiellement sur une
longue période
 Quels actifs de mon
organisation est déjà
compromis ou à la
veille de l’être?
 Quel domaine
externe est à la
source de l’attaque?
 Y-a-t-il du trafic
réseau de faible
intensité pouvant
m’alerter d’une
attaque persistante
ou imminente?
Qualifier les
menaces internes
• Identifier ou avertir les
usagers dans
l’organisation qui
peuvent
potentiellement
commettre des actes
dommageables pour
l’entreprise
 Quelles données font
l’objet de fuites ou de
pertes et qui
perpétue ces
actions?
Prédire l’hactivisme
• Émettre une alerte
d’attaque possible
provenant de groupes
ou entités
sympathisantes aux
causes contraire aux
intérêts de l’entreprise
 Quelles sont les
controverses pouvant
générées un sentiment
négatif à propos de
l’organisation
augmentant le risque
d’une attaque contre
cette dernière?
 Qui à l’interne
possède les
compétences et les
motivations pour
mettre à risque les
cyberopérations de
l’entreprise?
 Comment surveiller et
identifier les intentions
d’entités antagonistes
aux pratiques
commerciales de
l’organisation ?
 Qui exhibe une
utilisation anormale
des ressources?
 Comment la publicité
de l’entreprise dans
les médias impacte
t’elle le risque?
Contrer les
cyberattaques
• Informer les parties
prenantes d’une
attaque éminente ou
réelle par des
entreprises criminelles
ou des groupes
subventionnés ou
financés par les
gouvernements
 De quelle région
géographique
proviennent les
attaques?
 Quels outils de
piratage peuvent
être utilisés et qui y
ont accès?
 Y a-t-il des
symptômes d’une
attaque éminente ou
planifiée qui se
manifestent par des
problèmes de
support?
Réduire les fraudes
• Découvrir de nouvelles
méthodes de fraude qui
peuvent compromettre la
conformité avec la
réglementation ou
causer des pertes
financières importantes
 Comment
l’organisation peut-elle
identifier une activité
frauduleuse?
 Quels usagers ont des
identités compromises
qui peuvent mener à
des activités
frauduleuses?
 Est-ce que les
tentatives de fraude
connues peuvent
mener à la découverte
et l’anticipation de
modèle prédéfinie?
© 2015 IBM Corporation
Pourquoi utiliser les données massives en sécurité ?
?
Cinq questions aux analystes
en sécurité. En répondant
« oui » à l’une d’entre elles, il
devient impératif d’explorer
des solutions de sécurité
exploitant les données
massives.
Désirez-vous analyser et
corréler des jeux de
données afin de prévenir
les cyberattaques, les
réclamations frauduleuses
et les vols d’identités ?
13
Désirez-vous enrichir vos
solutions de sécurité avec
des données non structurées
telles que les courriels et les
médias sociaux afin de mieux
détecter et remédier aux
cybermenaces?
Désirez-vous détecter et
surveiller les activités
terroristes et criminelles en
corrélant un plus grand
éventail de sources par
association et modélisation ?
Désirez-vous rehausser la
sécurité et surveillance de
vos systèmes avec des
données vidéos en temps
réel, acoustiques, thermales
et autres équipements ou
capteurs ?
Désirez-vous mieux visualiser
des données de sécurité afin
de découvrir des menaces
insoupçonnées ?
© 2015 IBM Corporation
Les organization ont besoin d’identifier les menaces et de se protéger en construisant
des connaissances à partir de larges jeux de données
Traditional Security
Operations and
Technology
Logs
Events Alerts
System
audit trails
1. Analyze a variety of nontraditional and unstructured
datasets
Configuration
information
Identity context
Network flows
and anomalies
External threat
intelligence feeds
E-mail
Spreadsheets
Web page
text
Full packet and
DNS captures
Smart devices
Network Traffic
Sensors
GPS tracking
Images
Big Data
Analytics
14
Social Data blogs, tweets,
chats
Financial
Transactions
3. Visualize and query data in new
ways
4. Integrate with my current
operations
Business
process data
Customer
transactions
Satellites
2. Significantly increase the volume
of data stored for forensics and
historic analysis
Telephone
Records
5. It is not just size of the data, but
need to do more in – depth
analytics which cannot be done
real-time
6. Analyze streaming data, keep up
with velocity of data
© 2015 IBM Corporation
Nouvelle approche: Intégrer le renseignement de sécurité et l’exploration des données
massives
Security Intelligence
Platform
Real-time Processing
• Real-time network data correlation
• Anomaly detection
• Event and flow normalization
• Security context & enrichment
• Distributed architecture
Security Operations
• Pre-defined rules and reports
• Offense scoring &
prioritization
• Activity and event graphing
• Compliance reporting
• Workflow
management
15
Big Data
Platform
Big Data Processing
•Long-term, multi-PB storage
•Unstructured and structured
•Distributed Hadoop infrastructure
•Real-time stream computing
•Preservation of raw data
•Enterprise Integration
Analytics and Forensics
• Advanced visuals and interaction
• Predictive & decision modeling
• Ad hoc queries
• Interactive visualizations
• Collaborative sharing tools
• Pluggable, intuitive UI
© 2015 IBM Corporation
Network Telemetry Monitoring
Appliance (Optional)
Real-time Ingest
& Processing
InfoSphere
Streams
•
•
•
•
Video/audio
Network
Geospatial
Predictive
Big Data Storage
& Analytics
InfoSphere
BigInsights
•
•
•
Text/entity analytics
Data mining
Machine learning
IBM
PureData
for
Analytics
•
•
•
Deep analytics
Operational
analytics
Large scale
structured data
management
Criminal
Information
Tracking
System
Surveillance
Monitoring
System
Advanced Threat Protection
•
•
•
•
16
Security
Intelligence
Traditional Structured Data
Connectors
I2 Analyst’s
Notebook
Connectors
Unstructured/Streaming Data
Security Intelligence with Big Data Architecture
Data collection and
enrichment
Event correlation
Real-time analytics
Offense prioritization
© 2015 IBM Corporation
16
Exemple de flux de données dans la découverte avancée de cybermenaces
Sources de
données
Centre de sécurité opérationnel
Traitement en temps réel
3
1
Internet
4
2
10
NetFlow
1
Web and
Email Proxy
Unstructured
Data
Stokage et
traitement des
données massives
6
Analytique de de
données massives et
science judiciaire
BigSheets
7
5
Hadoop Store
Suspicious
User(s)
1.
2.
3.
4.
5.
17
8
NetFlow et logs envoyés à QRadar
Traitement des événements et flux
Correéation avec des sources externes
Alertes en temps réel au centre de contrôle des
opérations de sécurité (SOC)
Données non structurées vers Hadoop BigInsights
Optional
Relational Store
6.
7.
8.
9.
10.
9
Enrichissement des événements et flux envoyés vers
BigInsights
Interface usager de type chiffrier pour les analystes d’affaires
avec BigSheets
Stockage des données Hadoop pour analyse ultérieure
Analytiques et visuels basés sur les liens d’i2
Mise à jour en temps réel des jeux de règles d’affaires
© 2015 IBM Corporation
I2 Analyst’s
Notebook
Advanced Threat Protection
Security
Intelligence
•
•
•
18 •
Data collection and
enrichment
Event correlation
Real-time analytics
Offense prioritization
© 2015 IBM Corporation
Common Use Cases for Security Intelligence Extension
Targeted &
advanced threat
discovery
Customer Protect networks from
Problem hackers & foreign
attacks. Identify
advanced threats
Technical  Collection of high volume
network and DNS events
Challenges

Rapidly changing
identifiers

Analytics to find subtle
indicators

Integration of external
intelligence
IBM IBM QRadar
Approach • Collect security events/flow &
Enhanced
surveillance
insight
Crime
prediction &
protection
Improve surveillance by
leveraging broader
information sources & types
Inability to track criminals in
real-time to predict and
prevent crime

Collection & processing of
machine data (internet,
satellite, video, audio)

Unstructured data analysis,
correlation, pattern
matching
Integration with surveillance
platform activity workflow

19
19
Text/voice linguistic &
identity analysis

Behavioral and predictive
analysis

Integration with intelligence
platform


Real-time processing and
correlation of sensor data
InfoSphere BigInsights
•

Historical baselining and
pattern matching
InfoSphere BigInsights (Hadoop)
IBM i2 (or 3rd party platform)
•
•

Analyze historical data; detect
infections / past intrusions

Network Appliance (3rd party)
InfoSphere Streams
Collect all DNS transactions
Monitoring of mobile and
social media communication
InfoSphere Streams
correlate with external threats
For processing of massive
volumes of security event data

Visualization and dissemination
Tap into internet traffic
InfoSphere Streams

Real-time processing of Telco
and social media traffic
IBM SPSS

Predictive modeling & scoring
IBM i2 (or 3rd party platform)

Visualization and dissemination
IBM QRadar
© 2015 IBM Corporation
Global Securities Clearing
Corporation Proactively
Addressing Cyber Security
Threat with Big Data
Solution Capabilities
• IBM QRadar - Security Intelligence Event
Management Platform
• InfoSphere BigInsights – enterprise class
Hadoop analytics
Need
• Correlation & anomaly detection of
security and network data – real-time and
historical
• Ability to analyze larger volumes and
varieties of data - security, email, social
media, business process, transactional,
device, and other data
Benefits
20
20
• Can now actively ‘hunt’ for cyberattackers targeting their networks
© 2015 IBM Corporation
TerraEchos uses Big Data
with Covert Intelligence and
Surveillance Sensor Systems
Capabilities
• InfoSphere Streams
Need
• Deployed security surveillance system to
detect, classify, locate, and track potential
threats at highly sensitive national lab
Benefits
• Reduces time to capture and analyze
275MB of acoustic data from hours to onefourteenth of a second
• Enables analysis of real-time data from
different types of sensors and 1,024
individual channels to support extended
perimeter security
• Enables a faster and more intelligent
response to any threat
21
© 2015 IBM Corporation
21
Asian Government Enriching
Intelligence Analysis with Big
Data to Better Track
Terrorists and Criminals
Solution Capabilities
• InfoSphere Streams, Cognos BI
Need
• Ability to filter & analyze all Internet
traffic (social media, email, etc)
• Flag and track persons of interest
(drug/sex traffickers, terrorists, illegal
immigrants) and civil/border activity.
Benefits
• Can monitor and correlate Internet
data to extract new intelligence in realtime
22
• Will be able to better track suspects
and reduce crimes, trafficking, and
22
© 2015 IBM Corporation
En conclusion: Les données massives sont profitables pour la sécurité et le renseignement
Security/Intelligence Extension enhances
traditional security solutions by analyzing all
types and sources of under-leveraged data
Quoi?
Comment?
Pourquoi?
Protect networks
from hackers &
foreign attacks
Real-time Cyber
Attack Prediction
& Mitigation
Analyze network traffic to:
• Discover new threats early
• Detect known complex threats
• Take action in real-time
Analyze vast
stores of underleveraged data
Enhanced
Intelligence &
Surveillance
Insight
Analyze data-in-motion & at rest to:
• Find associations
• Uncover patterns and facts
• Maintain currency of information
Improve human
activity-based
intelligence
Crime prediction
& protection
Analyze Telco & social data to:
• Gather criminal evidence
• Prevent criminal activities
• Proactively apprehend criminals
23
© 2015 IBM Corporation
© 2013 IBM Corporation
Merci !
Documents connexes
Cliquez ici pour télécharger les diapositives de cet exposé.
Cliquez ici pour télécharger les diapositives de cet exposé.
4-publi CLUB LSA 06-2013.indd
4-publi CLUB LSA 06-2013.indd
Pensez, Et passez à corrigez, signez aut e chose: IBM se charge de
Pensez, Et passez à corrigez, signez aut e chose: IBM se charge de
La méthodologie IDEF0
La méthodologie IDEF0
2013 offre de stage v2
2013 offre de stage v2
1er Cours: Qu`est ce que l`informatique
1er Cours: Qu`est ce que l`informatique
Assistanat commercial - Commercial(e) grands comptes
Assistanat commercial - Commercial(e) grands comptes
Visioboard : commande d`ordinateur par le regard
Visioboard : commande d`ordinateur par le regard
BI-Les premiers ordinateurs-2k3
BI-Les premiers ordinateurs-2k3
L`argent de la pub, nouvelle manne des sites d
L`argent de la pub, nouvelle manne des sites d
KDP Groupe investit dans l`analyse prédictive avec les solutions IBM
KDP Groupe investit dans l`analyse prédictive avec les solutions IBM
Version 2 – comments from JGH incorporated – April 3rd
Version 2 – comments from JGH incorporated – April 3rd
Un quinqua bien branché
Un quinqua bien branché
Du produit au client : Conforama transforme sa stratégie marketing
Du produit au client : Conforama transforme sa stratégie marketing
Catalina Marketing
Catalina Marketing
Offrir une expérience positive avec l`analytique de la clientèle
Offrir une expérience positive avec l`analytique de la clientèle
GfK réalise ses études de marché « off line » et « on line » à l`aide
GfK réalise ses études de marché « off line » et « on line » à l`aide
Chapitre 8 : L`information et l`intelligence collective
Chapitre 8 : L`information et l`intelligence collective
Note d`information sur l`intelligence économique
Note d`information sur l`intelligence économique
Téléchargement
publicité