Camille Beauquel

Data-Scientist

Data Scientist dans la Cybersécurité

Titre : CYBERSÉCURITÉ – LE DATA SCIENTIST SERA LE PROCHAIN SUPERHÉROS DE LA SÉCURITÉ
Auteurs : article rédigé par les équipes Cybersécurité Sogeti & Vincent Laurens – Head of Cybersecurity BeLux
Source : http://www.itone.lu/actualites/cybersecurite-le-data-scientist-sera-le-prochain-superheros-de-la-securite

« Pouvez-vous prédire quelles mesures de sécurité sont bonnes ou mauvaises ? Pouvez-vous classer les utilisateurs comme dangereux ou normaux en fonction de leur comportement ? Pouvez-vous détecter lorsqu’un administrateur système mécontent installe des programmes malicieux juste avant de quitter l’entreprise ? »

Voici un ensemble de questions auxquelles les organisations souhaitent répondre en appliquant à la sécurité avancée les pratiques «analytiques» liées au big data. Cette «analyse avancée» intègre des modèles de représentation des menaces, des attaques ou même l’heuristique des observations. Les données sont nécessaires pour la formation et la déduction de modèles à partir de ces analyses.

Parfois, ces analyses visent simplement à offrir une visualisation afin de pouvoir y appliquer des connaissances humaines pour en déduire des idées. En associant les données tirées des fichiers journaux du système, les données historiques sur les adresses IP, les « honeypots », le comportement du système, les comportements des utilisateurs…, nous pouvons obtenir un aperçu bien plus exhaustif du comportement normal d’un utilisateur ou d’un scénario. L’astuce consiste à associer plusieurs sources différentes et à rechercher les modèles dans ces différents systèmes qui signalent un comportement indésirable.

L’analytique avancée appliquée au big data peut être utilisée pour détecter des intrusions extérieures, par exemple en identifiant des modèles dans le comportement des attaquants lorsqu’ils procèdent à une reconnaissance, mais également pour détecter les risques internes, par exemple en générant une alerte automatique lorsqu’un utilisateur accède à des données inhabituelles à une heure inhabituelle. De nombreux avantages sont déjà disponibles même sans le big data, simplement en examinant ce qu’il se passe au niveau des silos, mais le big data offre des promesses plus ambitieuses et proactives.

Une équipe de sécurité classique peut malheureusement avoir du mal à obtenir des résultats en ce qui concerne le big data, sauf si elle fait appel à un vrai data scientist capable d’assurer une reconnaissance des modèles ou à donner un sens aux modèles reconnus, cela basé sur une technologie innovante.

Quelles sont les dernières évolutions?

Le secteur de l’informatique a récemment découvert la valeur du big data et des informations susceptibles de se cacher dans des sources de données disparates et de grande taille. Ce nouvel intérêt pour les données s’est également répandu dans la communauté de la sécurité, avec l’application de technologies semblables aux sources de données disponibles pour détecter et prévenir les attaques. Les nouvelles technologies et l’analytique permettent à présent d’appliquer une approche analytique avancée de big data.

Quel intérêt pour nous?

En ce qui concerne les données, il s’agit de décomposer les silos de données pour soutenir des pratiques d’analyse avancée. Nous pouvons déjà collecter de grands volumes de données de sécurité, ou même des données de sécurité à haut débit mais nous recherchons à présent des données provenant d’autres sources. L’analyse ne consiste pas réellement à séparer le bon du mauvais, ce qui s’avère presque difficile, mais plutôt à savoir ce qui est «normal» afin de pouvoir analyser les exceptions. La traçabilité et les liens deviennent essentiels, que vous observiez des flux de données, des conversations ou des entités. Cette promesse pousse de nombreuses organisations à se lancer sur cette voie. Un mécanisme offrant un aperçu plus précis sur les éléments inhabituels, anormaux et potentiellement dangereux au sein d’une organisation constituerait un ajout de poids à l’arsenal des outils disponibles.

Quelles nouvelles mesures prendre?

Sans l’utilisation de l’analyse avancée sur les big data, nous ferions face à une quantité presque trop importante de données: des fichiers journaux trop lourds pour que quiconque puisse les analyser, encore moins les associer à d’autres fichiers ou journaux, aux données des RH et à toute autre source dont nous pourrions disposer. La technologie nous permet de trouver les données pertinentes, sans quoi les données sont inutiles. Certains soutiennent même que notre méthode actuelle d’utilisation des données entrave en réalité la sécurité car nous y passons trop de temps pour des résultats trop limités. Dans ce cas, que faire ?

. Tout d’abord, vous devez vous forger une idée réaliste de ce que l’analyse avancée en sécurité basée sur le big data peut ou non offrir à vos mécanismes de détection. Bien que cette promesse soit attrayante, dans la réalité, la situation est sensiblement plus compliquée car rien ne garantit que des modèles soient identifiés, ou que ces modèles résistent à l’avenir. Qu’arriverait-il si, au moment des rapports annuels, toutes les alarmes se mettaient à retentir du fait que tous les types d’utilisateurs accèdent à des données qu’ils n’utilisent pas «normalement»? Pouvez-vous utiliser vos données pour prévenir une attaque, ou, en cas d’attaque, serez-vous en mesure de faire mieux qu’une détection plus rapide ?

. Embauchez et réaffectez les personnes disposant des compétences nécessaires en termes de données: les data scientists, les passionnés d’informatique décisionnelle. Ils doivent avoir des connaissances sur les modèles, les statistiques et la corrélation et également savoir comment utiliser les outils et les tendances de façon opérationnelle.

. Collectez et corrélez des données provenant de différents systèmes, niveaux et canaux. Par exemple, lorsque le système RH signale qu’un salarié est «susceptible d’être renvoyé ou de démissionner», ces données doivent participer à l’analyse du comportement de cet utilisateur. Les journaux sur les besoins liés au cloud, sur les sites, les besoins mobiles et internes doivent être transparents…

Pour citer le Manifeste de la Sécurité « Sécuriser le cloud implique de le redéfinir comme un système sûr de bout en bout. ».

Une meilleure vision permet de meilleures décisions. Ce postulat est vrai pour les opérations de sécurité ainsi que pour toutes les autres fonctions commerciales. Si vous fonctionnez actuellement à l’aveugle, que vous travaillez toujours sur des fichiers journaux de grande taille à partir de systèmes indépendants, c’est un peu comme si vous essayiez de gérer une entreprise sans disposer d’éléments aussi essentiels que des statistiques précises sur les ventes ou les stocks. Les innovations promettant une automatisation de ce qui se fait encore aujourd’hui manuellement se trouvent au-delà de ce niveau basique. Le big data pourrait constituer une voie d’accès à des systèmes plus intelligents qui seraient pratiquement en mesure de s’autosécuriser.»

Copyright © 2024 Camille Beauquel All Right Reserved. Online CV Resume Theme By eDataStyle . Proudly powered by WordPress .