BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
LE MACHINE LEARNING RÉVOLUTIONNE LA CYBER DE PAPI POUR DÉTECTER LES NOUVELLES MENACES Jean-Nicolas Piotrowski PDG Fondateur de ITrust @CyberatHack
État des lieux La plupart des organisations ont mis en place des frameworks pour la sécurité. 91 % Le nombre de cyberattaques continue d’augmenter dans le monde. 75 % Les investissements en cybersécurité ont été de 3,5 milliards Euros. 24 % @CyberatHack
Le point de rupture MUSCLES HUMAINS ➞ MUSCLES ARTIFICIELS ” If I had asked people what they wanted, they would have said faster horses.” (Henry Ford) MUSCLES ARTIFICIELS ➞ INTELLIGENCES ” When Henry Ford made cheap, reliable cars people said, 'Nah, what's wrong with a horse?' That was a huge bet he made, and it worked. ” (Elon Musk) @CyberatHack
Le chainon manquant Protection périmétrique Firewall Protection contre les attaques connues (signatures) IDS & antivirus Collecte des traces et des informations Génération d’alertes statiques et manuelles Analyse manuelle SIEM Chainon manquant: @CyberatHack
La seule vraie question Quelle technologie me permettra d’éviter une attaque de type « Swift » ou « Target » ? Tous les outils actuels ont échoué à détecter ces attaques. Doit on prendre le risque de reproduire les mêmes erreurs ? @CyberatHack
Remettre en question les modèles existants ANALYSE COMPORTEMENTALE TECHNOLOGIE ANALYTIQUE SANDBOX ENDPOINT IDS Protection contre les menaces SIEM inconnues pendant ANTIVIRUS toutes les étapes de l’APT kill chain Protection pendant une ou plusieurs étapes de l’APT kill chain Temps réel Protection contre les menaces connues EVOLUTION @CyberatHack
Pourquoi les technologies actuelles ne font pas le job APT Kill Chain Reconnaissance Infiltration Phishing Persistance Installation de malware Communication avec le serveur C&C Espionnage Cartographie et récolte d’informations interne Mouvement Propagation (utilisation de credentials) latéral Accès à l’information ciblé Exfiltration des données ciblées Exfiltration (but premier de l’attaque) @CyberatHack
Alors on fait quoi ? " The world is full of obvious things which nobody by any chance ever observes. " - Sherlock Holmes @CyberatHack
Détection d’anomalies C’est quoi une anomalie ? > Condition étrange/échantillon aberrant/déviation de la normale > Inconsistance dans les données non conforme au comportement normale (observé ou appris) Et comment on détecte ? > Utilisation des technologies de Machine Learning > Constitution de profil de comportements normaux > Identification de déviation de la norme @CyberatHack
Fini la sécurité de papi “ L’analyse comportementale est la solution la plus plausible pour detecter les virus inconnus. ” - NSA President, 2012 “L'avenir de la sécurité informatique réside dans la combinaison des solutions basées sur la reconnaissance des modèles comportementaux et sur l’analyse de grands volumes de données en temps réel. ” - PricewaterhouseCoopers, 2016 @CyberatHack
Reveelium - Principe Reveelium est une plateforme complète de détection d’anomalie et de prévention : > S’appuie sur vos infrastructures existantes (« Plug and play ») > Détecte automatiquement, analyse et priorise les anomalies avec une note du risque > Prédit des problèmes de sécurité en utilisant les technologies de machine learning. @CyberatHack
Reveelium - Architecture logique @CyberatHack
Reveelium - Architecture logique LE SYSTÈME D’INFORMATION D’UNE ENTREPRISE RÉSEAU D’ENTREPRISE ADMINISTRATION RÉSEAU LAPTOP Active PC Directory IMPRIMANTE SIEM DMZ Proxy serveur Console Admin ÉVÉNEMENTS DNS Web serveur application serveur SANDBOX IDS INTERNET FIREWALL SCENARIO 1 DONNÉES D’ENTRÉE (SANS LE SIEM) SCENARIO 2 DONNÉES D’ENTRÉE (AVEC LE SIEM) OUTILS TRADITIONNELS DE SÉCURITÉ RÉSEAU PUBLIC WWW @CyberatHack
Reveelium - Architecture logique @CyberatHack
Reveelium - Les clés de la réussite S’appuyer sur les éléments en place ✗ Endpoint et analyseurs de trames Collecte des journaux souvent existante ont un impact fort et SIEM : Agrégation et indexation des sources de données des effets de bords Coûts de ✗ maintenance et Technologie Big Data exploitation Coûts d’acquisition Diversité des données, des entités et des relations Scalabilité : augmentation du volume de données ✗ ✗ Capacité à traiter 100 MBPS Analyse statistique et Machine Learning ✗ Analyse statistique Analytique & apprentissage ✗ Laisse passer les flux ou APT Détection d’anomalie @CyberatHack
Un algorithme hybride unique au monde Les composants logiques du réseau sont extraits pour construire les modèles. > Modélisation des entités du réseau > Extraction des features d’une entité à partir des données > ML & analyse statistique utilisés pour apprendre les comportements > Détection de comportements déviants du modèle Horaire Pays DNS Pays Service DNS IP Flux UTILISATEUR SERVEUR @CyberatHack
Un algorithme hybride unique au monde Analyse multidimensionnelle : enrichissement de l’analyse dans un contexte réseau > Corrélation temporelle et évènementielle > Analyse de popularité > Création d’un réseau de relations (entre utilisateurs, serveurs, applications…) > Analyse d’impact dans ce réseau Horaire Pays DNS Pays Service DNS IP Flux UTILISATEUR SERVEUR @CyberatHack
Reveelium - Proposition de valeurs MOINS de faux positifs en utilisant Reveelium > Protège vos infrastructures contre les APT, virus et attaques inconnues 20 x > Détecte les comportements malveillants au sein de votre SI Temps de detection diminue de 12 mois a 1 semaine > Identifie les signaux faibles pour anticiper des problèmes de performance, mais aussi des attaques 7j furtives > Evite l’extraction de données Divise par 50 le temps consacre a la surveillance > Evite la saturation des ressources des SI 1/2 @CyberatHack
Reveelium - Proposition de valeurs Un framework global compatible avec différents use cases Possibilité de développer d’autres use cases bases sur l’analyse comportementale FINTECH, E-SANTE, TELECOM, FRAUDE @CyberatHack
Success stories récentes Ces 2 derniers mois nous avons détectés 2 APT au sein de 2 organisations bancaires majeures là où aucune autre technologie ne les avait détectés. Dans 95% des tests et POC réalisés nous avons détecté des anomalies et attaques. @CyberatHack
Reveelium Checklist > Use Case APT via DNS : 20 fois moins de faux positifs, réduction de 12 mois du temps de détection… > Approche innovante qui permet de reprendre l’initiative sur les attaquants > Une plateforme évolutive qui est sans cesse enrichie par de nouveaux Use Case, des nouvelles capacités d’analyse et de détection > Une architecture orientée Big Data qui s’adapte à toutes les tailles de réseau et qui grandit avec lui @CyberatHack
CYBER@HACK 2K16 Organisé par @CyberatHack
MANAGEMENT DES CYBER-RISQUES : QUANTIFIER POUR DÉCIDER Denis ZANDVLIET Associé VALU€360 Membre du Groupe Quantification de l’AMRAE @CyberatHack
Des constats Le contre-exemple : • Organisme de 280 personnes de gestion de retraites B2B • Projet d’un plan de continuité pour 3 M€ • Chute totale du SI pendant 48 heures • Coût constaté a posteriori : 500 K€ • Décision ? @CyberatHack (*) : source NTT Com Security - 2016
La problématique Constats de dégâts majeurs Faiblesse fréquente des entreprises dans la gouvernance des risques Sensibilité particulière quant aux logiciels (gestion, …, embarqué, …, connecté, …) Absence fréquente d’approche de quantification et économique Reluctance des experts et des managers Or le savoir-faire en gouvernance et en quantification économique des risques existe depuis des décennies ! @CyberatHack
Quelques Questions Pourquoi de tels constats alors que les informations et les outils pour anticiper existent ? Les dires d’experts peuvent-ils être aussi pertinents que l’actuariat ? La synergie entre MOE et MOA est-elle suffisante ? Les assureurs vont-ils toujours suivre ? Comment sont assumées les obligations réglementaires (provisions) ? Pourquoi une telle reluctance des managers ? @CyberatHack
Méthodologie proposée Référentiel ISO 31000-31010 Evaluer les conséquences potentielles des risques numériques sur les métiers, avec l’implication des MOA Intégrer les données opérationnelles avec l’économique et le financier Impliquer les fournisseurs Approche en « Minimum – Meilleur Estimé – Maximum » Calculs de quantification global avec un outil stochastique : Monte Carlo, voire Bayésien Changement de culture de la MOE à la MOA @CyberatHack
Le terrain : de l’industrie au numérique Hors du numérique : TOTAL TECHNIP EGIS SUBSEA 7 LEGO Des applications très diverses (Go/NoGo, négociations , réserves financières, provisions comptables) Banques & Assurances : changement pointu d’organisation pour répondre aux risques d’image dans le Numérique / réseaux sociaux Coca Cola : concours de geysers avec les pastilles Mentos sur les réseaux sociaux PME : révision à la baisse du coût du plan SI de continuité de 3 M€ à 0,4 M€ Repose sur la réalité des incertitudes et aléas, fréquents dans le Numérique En cohérence totale avec l’urbanisation des SI (approche systémique, …) Approche flux donne de nombreuses quantifications, au-delà des volumétries statiques Estimations : réutilisation de méthodes de points de fonctions Intègre les évolutions très rapides du Numérique @CyberatHack
De la méthode au terrain : Mise en œuvre Modélisation des incertitudes Quantification des critères Probabilité % Meilleur estimé 110 Min Meilleur estimé Max Ressources Min 90 Max 180 Confiance 90% Qtté Meilleur estimé 150 Min Meilleur estimé Max Productions Min 80 Max 200 Confiance 90% Qtté Monte Carlo Révision Evaluationconcertée des Réserves pour etAléas motivée du budget et Incertitudes Provisions pour Risques et Incertitudes Probabilité Prise en compte des Risques 0,1800 100 M€ 114 M€ Prise en compte des aléas 0,1600 0,1400 131 M€ Plan d'Actions • Changements spécifications : 70% 0,1200 90% de Après Actions 0,1000 • Panne d’exploitation : 2 / an 0,0800 Provision pour certitude Avant Actions Investissements hors Risques Risques et • Bugs résiduels : 5% 0,0600 Incertitudes • Sources non actuelles : 0,1% 0,0400 14 M€ 0,0200 • Attaques : 15 / an 0,0000 M€ • … @CyberatHack La provision financière (14 M€) est La méthode de Monte-Carlo permet objectivement motivée d’exprimer des phénomènes spécifiques
Exemple d’application PME en e-commerce B2B 30 commandes/jour ; CA de 15 M€ Données opérationnelles Valeur (K€) Totaux coûts (K€) Analyse Conséquences - 1 jour d'arrêt min estimé max min estimé max min estimé max Arrêt d'exploitation Absence directe Nb Cmdes 15 30 45 1 2 10 15 60 450 Maintenance Logiciels charge (J) 5 10 30 0,5 0,7 0,95 3 7 29 Communication Divers média charge (J) 3 5 10 0,75 0,95 1,2 2 5 12 Perte d'image Absence générée Nb Cmdes 30 60 300 1 2 10 30 120 3 000 Totaux (K€) 50 192 3 491 Coût total max : valeur aberrante … Coût total médian : 310 K€ qui est un enjeu raisonnable de l’incident @CyberatHack
Apports managériaux Répondre aux exigences des normes IFRS, Bâle, Solvency, … pour les Risques opérationnels Faire prendre conscience de l’importance des risques numériques pour l’entreprise Passer du mode budgétaire « justification du consommé » au mode « engagement de résultats » (SLA, …) Améliorer significativement les résultats Performances / Coûts / Délais des projets, Q et plus généralement de toute activité R C Réduction du stress des collaborateurs et/ou des experts D Réduction de la rétention d’information Implication forte des MOA Pouvoir manager les responsables de projets et d’activités MOE et MOA de façon très factuelle, opérationnelle et sans biais Gouvernance plus objective @CyberatHack
CYBER@HACK 2K16 Organisé par @CyberatHack
Vous pouvez aussi lire