Dans les articles précédents, nous avons examiné la menace individu sous différents angles et nous avons vu que la prévention de la menace individu implique les services de sécurité de l'information, les services juridiques et les services des ressources humaines (RH) d'une organisation. Dans ce billet, nous voulons examiner ce que les services de sécurité de l'information peuvent réellement faire pour détecter les menaces internes en cours, voire les prévenir avant qu'elles ne se produisent.
L'aiguille dans la botte de foin
Dans l'ensemble, les menaces sur individu ne représentent qu'une petite partie du comportement des employés. Et si seuls les incidents de type "cygne noir" sont connus du public, les incidents mineurs tels que le vol de propriété intellectuelle ou de listes de contacts de clients se traduiront par des coûts importants pour les organisations.
En outre, les initiés sont par défaut autorisés à se trouver à l'intérieur du réseau et se voient accorder l'accès aux ressources clés d'une organisation et en font usage. Étant donné le grand nombre de schémas d'accès visibles dans le réseau d'une organisation, comment savoir s'il s'agit d'un comportement négligent, nuisible ou malveillant ?
IT departments typically respond to the insider threat, if at all, by extensive monitoring and logging. The aim is to at least be able to do forensic analysis when a threat is happening and doing damage, and support the legal department with any investigations.
Il est évident qu'une telle approche ne permet en aucun cas de prévenir la menace. Des mises à jour récentes de solutions de surveillance telles que Sure View et des programmes de recherche du gouvernement américain ont commencé à adopter une approche plus proactive pour détecter une menace pendant qu'elle se produit, et même avant qu'elle ne se produise. Nous avons vu que la psychologie de individu est très complexe et que individu prend généralement des précautions pour échapper à la détection, alors comment une solution logicielle pourrait-elle identifier de manière fiable ce qui est une menace et ce qui ne l'est pas ?
Data science … the new solution to the insider threat problem?
The problem of detecting the insider threat before it actually happens is as difficult and complex to solve as the prediction of human behavior itself. What is the next action of a person? Which action will be inside the scope of assigned work for that person? Which action will indicate the preparation for an attack by that person?
Les récentes avancées technologiques ont permis de réaliser des progrès significatifs dans la prédiction de ce qui était auparavant considéré comme imprévisible : le comportement humain. Malgré quelques échecs initiaux, des systèmes tels que Google Now, Siri ou Cortana visent à prédire les besoins des utilisateurs avant même qu'ils ne les connaissent.
Cela devient possible grâce aux grandes quantités de données comportementales qui ont été collectées et indexées, et les ressources informatiques disponibles pour l'analyse ont atteint une masse critique pour le déploiement de méthodes d'intelligence artificielle à grande échelle telles que la reconnaissance vocale, l'analyse d'images et l'apprentissage automatique. Cette nouvelle analyse prédictive de grandes quantités de données comportementales est désignée par le terme de science des données.
It is nowadays applied to various problems and areas, and could similarly be applied to the insider threat problem. As described above, an insider’s behavior is per definition authorized inside an organization’s network and there is typically not enough information available to derive an insider’s intention or psychology in real-time. However, as the amount of collected behavior data increases, there are more and more cues that could be revealed.
An initial data science approach is to learn commonly known indicators for insider threat behavior. These might be authorized behaviors, but are typically associated with a an insider who has veered off course. An example is exfiltration behaviors such as uploading data to a dropbox account, extensive use of USB sticks or high volume of downloads from internal servers. These indicators are specific enough to catch an ongoing attack, but only a limited set of attack types can be detected in this way (those for which the indicators are known).
Afin de détecter les attaques futures - et inconnues - une deuxième approche consiste à se concentrer sur les anomalies dans le comportement observé. Une anomalie est quelque chose qui s'écarte de ce qui est standard, normal ou attendu.
Dans le domaine du comportement, une solution de science des données analysera les données comportementales et apprendra ce qui est normal. Un comportement "normal" peut se référer à la normalité en ce qui concerne toutes les variations de comportement observées, le comportement d'un individu au fil du temps ou même les comportements sociaux. Une fois qu'une base de normalité est établie, les valeurs aberrantes peuvent être identifiées.
Sachant que les menaces internes sont associées à des changements de comportement de l'individu en question, la détection des anomalies les révélera, même dans les premiers stades d'une menace. Toutefois, cette meilleure détection a un prix : un nombre plus élevé de faux positifs. Des changements de comportement anodins (dus par exemple à des changements de fonction ou d'équipe, ou à la reprise du travail après les vacances, etc.
Une troisième approche de la science des données (la plus avancée) consiste à générer des récits à partir des résultats des première et deuxième approches, c'est-à-dire à combiner les indicateurs et les anomalies pour générer une interprétation compréhensible du comportement qui se produit au sein d'une organisation. Cette dernière approche est manifestement difficile à mettre en œuvre car, à terme, elle impliquera la création d'une véritable intelligence artificielle. Mais nous nous en approchons...
Cet article a été publié à l'origine dans le cadre du IDG Contributor Network.