BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
BIENVENUE À
CYBER@HACK
2K16
Organisé par
@CyberatHack
LE MACHINE LEARNING RÉVOLUTIONNE
LA CYBER DE PAPI POUR DÉTECTER
LES NOUVELLES MENACES
Jean-Nicolas Piotrowski
PDG Fondateur de ITrust
@CyberatHack
État des lieux
La plupart des organisations ont mis en place
des frameworks pour la sécurité.
91 %
Le nombre de cyberattaques
continue d’augmenter dans le monde.
75 %
Les investissements en cybersécurité
ont été de 3,5 milliards Euros.
24 %
@CyberatHack
Le point de rupture
MUSCLES HUMAINS ➞ MUSCLES ARTIFICIELS
” If I had asked people what they wanted,
they would have said faster horses.”
(Henry Ford)
MUSCLES ARTIFICIELS ➞ INTELLIGENCES
” When Henry Ford made cheap, reliable cars people said,
'Nah, what's wrong with a horse?'
That was a huge bet he made, and it worked. ”
(Elon Musk)
@CyberatHack
Le chainon manquant
Protection périmétrique
Firewall
Protection contre les attaques connues (signatures)
IDS & antivirus
Collecte des traces et des informations
Génération d’alertes statiques et manuelles
Analyse manuelle
SIEM
Chainon manquant:
@CyberatHack
La seule vraie question
Quelle technologie me permettra d’éviter une attaque de type
« Swift » ou « Target » ?
Tous les outils actuels ont échoué à détecter ces attaques.
Doit on prendre le risque de reproduire les mêmes erreurs ?
@CyberatHack
Remettre en question les modèles existants
ANALYSE
COMPORTEMENTALE
TECHNOLOGIE
ANALYTIQUE
SANDBOX ENDPOINT IDS
Protection
contre les menaces
SIEM inconnues pendant
ANTIVIRUS toutes les étapes de
l’APT kill chain
Protection pendant une ou plusieurs étapes
de l’APT kill chain
Temps réel
Protection contre les
menaces connues
EVOLUTION
@CyberatHack
Pourquoi les technologies actuelles ne font pas le job
APT Kill Chain
Reconnaissance
Infiltration Phishing
Persistance Installation de malware
Communication avec le serveur C&C
Espionnage Cartographie et récolte d’informations
interne
Mouvement Propagation (utilisation de credentials)
latéral Accès à l’information ciblé
Exfiltration des données ciblées
Exfiltration
(but premier de l’attaque)
@CyberatHack
Alors on fait quoi ?
" The world is full of obvious things
which nobody by any chance ever observes. "
- Sherlock Holmes
@CyberatHack
Détection d’anomalies
C’est quoi une anomalie ?
> Condition étrange/échantillon aberrant/déviation de la normale
> Inconsistance dans les données non conforme au
comportement normale (observé ou appris)
Et comment on détecte ?
> Utilisation des technologies de Machine Learning
> Constitution de profil de comportements normaux
> Identification de déviation de la norme
@CyberatHackFini la sécurité de papi
“ L’analyse comportementale est la solution la
plus plausible pour detecter les virus inconnus. ” -
NSA President, 2012
“L'avenir de la sécurité informatique réside dans la
combinaison des solutions basées sur
la reconnaissance des modèles comportementaux
et sur l’analyse de grands volumes
de données en temps réel. ”
- PricewaterhouseCoopers, 2016
@CyberatHackReveelium - Principe
Reveelium est une plateforme complète de détection d’anomalie et de prévention :
> S’appuie sur vos infrastructures existantes (« Plug and play »)
> Détecte automatiquement, analyse et priorise les anomalies avec une note du risque
> Prédit des problèmes de sécurité en utilisant les technologies de machine learning.
@CyberatHackReveelium - Architecture logique @CyberatHack
Reveelium - Architecture logique
LE SYSTÈME
D’INFORMATION
D’UNE ENTREPRISE
RÉSEAU D’ENTREPRISE
ADMINISTRATION RÉSEAU
LAPTOP
Active
PC Directory
IMPRIMANTE
SIEM
DMZ
Proxy
serveur Console
Admin
ÉVÉNEMENTS
DNS Web
serveur application
serveur
SANDBOX IDS
INTERNET
FIREWALL SCENARIO 1 DONNÉES D’ENTRÉE (SANS LE SIEM)
SCENARIO 2 DONNÉES D’ENTRÉE (AVEC LE SIEM)
OUTILS TRADITIONNELS DE SÉCURITÉ
RÉSEAU PUBLIC
WWW
@CyberatHackReveelium - Architecture logique @CyberatHack
Reveelium - Les clés de la réussite
S’appuyer sur les éléments en place ✗ Endpoint et
analyseurs de trames
Collecte des journaux souvent existante ont un impact fort et
SIEM : Agrégation et indexation des sources de données des effets de bords
Coûts de
✗ maintenance et
Technologie Big Data exploitation
Coûts d’acquisition
Diversité des données, des entités et des relations
Scalabilité : augmentation du volume de données
✗
✗ Capacité à traiter 100
MBPS
Analyse statistique et Machine Learning ✗ Analyse statistique
Analytique & apprentissage ✗ Laisse passer les flux
ou APT
Détection d’anomalie
@CyberatHackUn algorithme hybride unique au monde
Les composants logiques du réseau sont extraits pour construire les modèles.
> Modélisation des entités du réseau
> Extraction des features d’une entité à partir des données
> ML & analyse statistique utilisés pour apprendre les comportements
> Détection de comportements déviants du modèle
Horaire Pays
DNS Pays
Service DNS
IP Flux
UTILISATEUR
SERVEUR
@CyberatHackUn algorithme hybride unique au monde
Analyse multidimensionnelle : enrichissement de l’analyse dans un contexte réseau
> Corrélation temporelle et évènementielle
> Analyse de popularité
> Création d’un réseau de relations (entre utilisateurs, serveurs, applications…)
> Analyse d’impact dans ce réseau
Horaire Pays
DNS Pays
Service DNS
IP Flux
UTILISATEUR
SERVEUR
@CyberatHackReveelium - Proposition de valeurs
MOINS de faux positifs
en utilisant Reveelium
> Protège vos infrastructures contre les APT, virus et
attaques inconnues 20 x
> Détecte les comportements malveillants au sein de
votre SI Temps de detection diminue
de 12 mois a 1 semaine
> Identifie les signaux faibles pour anticiper des
problèmes de performance, mais aussi des attaques
7j
furtives
> Evite l’extraction de données Divise par 50 le temps
consacre a la surveillance
> Evite la saturation des ressources des SI 1/2
@CyberatHackReveelium - Proposition de valeurs
Un framework global compatible avec différents use cases
Possibilité de développer d’autres use cases bases sur l’analyse comportementale
FINTECH, E-SANTE, TELECOM, FRAUDE
@CyberatHackSuccess stories récentes
Ces 2 derniers mois nous avons détectés
2 APT au sein de 2 organisations bancaires
majeures là où aucune autre technologie ne les
avait détectés.
Dans 95% des tests et POC réalisés
nous avons détecté des anomalies et attaques.
@CyberatHackReveelium Checklist
> Use Case APT via DNS : 20 fois moins de faux positifs, réduction de 12 mois du temps de
détection…
> Approche innovante qui permet de reprendre l’initiative sur les attaquants
> Une plateforme évolutive qui est sans cesse enrichie par de nouveaux Use Case, des
nouvelles capacités d’analyse et de détection
> Une architecture orientée Big Data qui s’adapte à toutes les tailles de réseau et qui
grandit avec lui
@CyberatHackCYBER@HACK
2K16
Organisé par
@CyberatHackMANAGEMENT DES CYBER-RISQUES :
QUANTIFIER POUR DÉCIDER
Denis ZANDVLIET
Associé VALU€360
Membre du Groupe Quantification de l’AMRAE
@CyberatHackDes constats
Le contre-exemple :
• Organisme de 280 personnes
de gestion de retraites B2B
• Projet d’un plan de
continuité pour 3 M€
• Chute totale du SI pendant
48 heures
• Coût constaté a posteriori :
500 K€
• Décision ?
@CyberatHack
(*) : source NTT Com Security - 2016La problématique Constats de dégâts majeurs Faiblesse fréquente des entreprises dans la gouvernance des risques Sensibilité particulière quant aux logiciels (gestion, …, embarqué, …, connecté, …) Absence fréquente d’approche de quantification et économique Reluctance des experts et des managers Or le savoir-faire en gouvernance et en quantification économique des risques existe depuis des décennies ! @CyberatHack
Quelques Questions Pourquoi de tels constats alors que les informations et les outils pour anticiper existent ? Les dires d’experts peuvent-ils être aussi pertinents que l’actuariat ? La synergie entre MOE et MOA est-elle suffisante ? Les assureurs vont-ils toujours suivre ? Comment sont assumées les obligations réglementaires (provisions) ? Pourquoi une telle reluctance des managers ? @CyberatHack
Méthodologie proposée Référentiel ISO 31000-31010 Evaluer les conséquences potentielles des risques numériques sur les métiers, avec l’implication des MOA Intégrer les données opérationnelles avec l’économique et le financier Impliquer les fournisseurs Approche en « Minimum – Meilleur Estimé – Maximum » Calculs de quantification global avec un outil stochastique : Monte Carlo, voire Bayésien Changement de culture de la MOE à la MOA @CyberatHack
Le terrain : de l’industrie au numérique
Hors du numérique :
TOTAL TECHNIP EGIS SUBSEA 7 LEGO
Des applications très diverses (Go/NoGo, négociations , réserves financières, provisions comptables)
Banques & Assurances : changement pointu d’organisation pour répondre aux risques
d’image dans le Numérique / réseaux sociaux
Coca Cola : concours de geysers avec les pastilles Mentos sur les réseaux sociaux
PME : révision à la baisse du coût du plan SI de continuité de 3 M€ à 0,4 M€
Repose sur la réalité des incertitudes et aléas, fréquents dans le Numérique
En cohérence totale avec l’urbanisation des SI (approche systémique, …)
Approche flux donne de nombreuses quantifications, au-delà des volumétries statiques
Estimations : réutilisation de méthodes de points de fonctions
Intègre les évolutions très rapides du Numérique
@CyberatHackDe la méthode au terrain : Mise en œuvre
Modélisation des incertitudes
Quantification des critères Probabilité %
Meilleur estimé 110 Min Meilleur estimé Max Ressources
Min 90
Max 180
Confiance 90% Qtté
Meilleur estimé 150 Min Meilleur estimé Max Productions
Min 80
Max 200
Confiance 90% Qtté
Monte Carlo Révision
Evaluationconcertée
des Réserves pour etAléas
motivée du budget
et Incertitudes
Provisions pour Risques et Incertitudes
Probabilité Prise en compte des Risques
0,1800
100 M€ 114 M€
Prise en compte des aléas 0,1600
0,1400 131 M€
Plan d'Actions
• Changements spécifications : 70% 0,1200
90% de Après Actions
0,1000
• Panne d’exploitation : 2 / an 0,0800 Provision pour
certitude Avant Actions
Investissements hors Risques
Risques et
• Bugs résiduels : 5% 0,0600 Incertitudes
• Sources non actuelles : 0,1%
0,0400 14 M€
0,0200
• Attaques : 15 / an 0,0000
M€
• …
@CyberatHack La provision financière (14 M€) est La méthode de Monte-Carlo permet
objectivement motivée d’exprimer des phénomènes spécifiquesExemple d’application
PME en e-commerce B2B
30 commandes/jour ; CA de 15 M€
Données opérationnelles Valeur (K€) Totaux coûts (K€)
Analyse Conséquences - 1 jour d'arrêt
min estimé max min estimé max min estimé max
Arrêt d'exploitation Absence directe Nb Cmdes 15 30 45 1 2 10 15 60 450
Maintenance Logiciels charge (J) 5 10 30 0,5 0,7 0,95 3 7 29
Communication Divers média charge (J) 3 5 10 0,75 0,95 1,2 2 5 12
Perte d'image Absence générée Nb Cmdes 30 60 300 1 2 10 30 120 3 000
Totaux (K€) 50 192 3 491
Coût total max : valeur aberrante …
Coût total médian : 310 K€ qui est un enjeu raisonnable de l’incident
@CyberatHackApports managériaux
Répondre aux exigences des normes IFRS, Bâle, Solvency, … pour les Risques
opérationnels
Faire prendre conscience de l’importance des risques numériques pour l’entreprise
Passer du mode budgétaire « justification du consommé » au mode
« engagement de résultats » (SLA, …)
Améliorer significativement les résultats Performances / Coûts / Délais des projets,
Q
et plus généralement de toute activité
R
C
Réduction du stress des collaborateurs et/ou des experts D
Réduction de la rétention d’information
Implication forte des MOA
Pouvoir manager les responsables de projets et d’activités MOE et MOA de façon
très factuelle, opérationnelle et sans biais
Gouvernance plus objective
@CyberatHackCYBER@HACK
2K16
Organisé par
@CyberatHackVous pouvez aussi lire
