individu Détection des menaces : Indicateurs communs et stratégies de prévention

10 janvier 2015
Vectra AI Security Research team
Cybersécurité
individu Détection des menaces : Indicateurs communs et stratégies de prévention

Dans les articles précédents, nous avons examiné la menace individu sous différents angles et nous avons vu que la prévention de la menace individu implique les services de sécurité de l'information, les services juridiques et les services des ressources humaines (RH) d'une organisation. Dans ce billet, nous voulons examiner ce que les services de sécurité de l'information peuvent réellement faire pour détecter les menaces individu en cours, voire les prévenir avant qu'elles ne se produisent.

L'aiguille dans la botte de foin

Dans l'ensemble, les menaces sur individu ne représentent qu'une petite partie du comportement des employés. Et si seuls les incidents de type "cygne noir" sont connus du public, les incidents mineurs tels que le vol de propriété intellectuelle ou de listes de contacts de clients se traduiront par des coûts importants pour les organisations.

En outre, les initiés sont par défaut autorisés à se trouver à l'intérieur du réseau et se voient accorder l'accès aux ressources clés d'une organisation et en font usage. Étant donné le grand nombre de schémas d'accès visibles dans le réseau d'une organisation, comment savoir s'il s'agit d'un comportement négligent, nuisible ou malveillant ?

Les services informatiques répondent généralement à la menace individu , si tant est qu'ils le fassent, par une surveillance et une journalisation approfondies. L'objectif est d'être au moins en mesure d'effectuer une analyse médico-légale lorsqu'une menace se produit et cause des dommages, et d'aider le service juridique dans ses enquêtes.

Il est évident qu'une telle approche ne permet en aucun cas de prévenir la menace. Des mises à jour récentes de solutions de surveillance telles que Sure View et des programmes de recherche du gouvernement américain ont commencé à adopter une approche plus proactive pour détecter une menace pendant qu'elle se produit, et même avant qu'elle ne se produise. Nous avons vu que la psychologie de individu est très complexe et que individu prend généralement des précautions pour échapper à la détection, alors comment une solution logicielle pourrait-elle identifier de manière fiable ce qui est une menace et ce qui ne l'est pas ?

‍‍‍

La science des données ... la nouvelle solution au problème de la menace individu ?

Le problème de la détection de la menace individu avant qu'elle ne se concrétise est aussi difficile et complexe à résoudre que la prédiction du comportement humain lui-même. Quelle sera la prochaine action d'une personne ? Quelle action s'inscrira dans le cadre du travail assigné à cette personne ? Quelle action indiquera la préparation d'une attaque par cette personne ?

Les récentes avancées technologiques ont permis de réaliser des progrès significatifs dans la prédiction de ce qui était auparavant considéré comme imprévisible : le comportement humain. Malgré quelques échecs initiaux, des systèmes tels que Google Now, Siri ou Cortana visent à prédire les besoins des utilisateurs avant même qu'ils ne les connaissent.

Cela devient possible grâce aux grandes quantités de données comportementales qui ont été collectées et indexées, et les ressources informatiques disponibles pour l'analyse ont atteint une masse critique pour le déploiement de méthodes d'intelligence artificielle à grande échelle telles que la reconnaissance vocale, l'analyse d'images et l'apprentissage automatique. Cette nouvelle analyse prédictive de grandes quantités de données comportementales est désignée par le terme de science des données.

Elle est aujourd'hui appliquée à divers problèmes et domaines, et pourrait être appliquée de la même manière au problème de la menace individu . Comme décrit ci-dessus, le comportement d'un individuest par définition autorisé à l'intérieur du réseau d'une organisation et il n'y a généralement pas assez d'informations disponibles pour déduire l'intention ou la psychologie d'un individuen temps réel. Cependant, à mesure que la quantité de données comportementales collectées augmente, de plus en plus d'indices peuvent être révélés.

Une première approche de la science des données consiste à apprendre les indicateurs communément connus du comportement de la menace individu . Ces comportements peuvent être autorisés, mais sont généralement associés à une personne qui a dévié de son chemin. Il peut s'agir de comportements autorisés, mais ils sont généralement associés à un individu qui a dévié de sa trajectoire. Par exemple, les comportements d'exfiltration tels que le téléchargement de données sur un compte Dropbox, l'utilisation intensive de clés USB ou un volume élevé de téléchargements à partir de serveurs internes. Ces indicateurs sont suffisamment spécifiques pour détecter une attaque en cours, mais seul un ensemble limité de types d'attaques peut être détecté de cette manière (ceux pour lesquels les indicateurs sont connus).

Afin de détecter les attaques futures - et inconnues - une deuxième approche consiste à se concentrer sur les anomalies dans le comportement observé. Une anomalie est quelque chose qui s'écarte de ce qui est standard, normal ou attendu.

Dans le domaine du comportement, une solution de science des données analysera les données comportementales et apprendra ce qui est normal. Un comportement "normal" peut se référer à la normalité en ce qui concerne toutes les variations de comportement observées, le comportement d'un individu au fil du temps ou même les comportements sociaux. Une fois qu'une base de normalité est établie, les valeurs aberrantes peuvent être identifiées.

Sachant que les menaces individu sont associées à des changements de comportement de l'individu en question, la détection des anomalies les révélera, même dans les premiers stades d'une menace. Toutefois, cette meilleure détection a un prix : un nombre plus élevé de faux positifs. Des changements de comportement anodins (dus par exemple à des changements de fonction ou d'équipe, ou à la reprise du travail après les vacances, etc.

Une troisième approche de la science des données (la plus avancée) consiste à générer des récits à partir des résultats des première et deuxième approches, c'est-à-dire à combiner les indicateurs et les anomalies pour générer une interprétation compréhensible du comportement qui se produit au sein d'une organisation. Cette dernière approche est manifestement difficile à mettre en œuvre car, à terme, elle impliquera la création d'une véritable intelligence artificielle. Mais nous nous en approchons...

Cet article a été publié à l'origine dans le cadre du IDG Contributor Network.

Foire aux questions