Le Big Data au service de la cybersécurité Le Big Data vient renforcer l'approche SOC

Un centre de sécurité pour superviser l'ensemble des événements de sécurité du système d'information est devenu l'état de l'art du marché. Une brique Big Data lui permet de lutter contre les menaces complexes.

Pour contrer les menaces, les entreprises ont complété leur arsenal d'équipements de sécurité par une plateforme de supervision de la sécurité (ou SOC pour Security Operation Center), de plus en plus couplée à une plateforme de SIEM (pour Security Information and Event Management). Ce dernier logiciel joue un rôle de réceptacle pour l'ensemble des évènements détectés par les équipements, mais aussi pour tous les fichiers de log des serveurs "sensibles". "Le SIEM permet deux choses. D'une part il stocke les logs puis permet de les corréler. C'est dans la mise en place de ces règles de corrélation que ce trouve la valeur ajoutée de l'analyse. C'est là où on essaye de trouver des techniques intelligentes pour détecter des formes d'attaque qui sont élaborées par des gens très intelligents", explique l'expert Charles Ibrahim. 

Le Big Data pour lutter contre les attaques persistantes avancées

schéma d'une attaque persistante avancée.
Schéma d'une attaque persistante avancée. © Dell SecureWorks /  CC-BY-SA-3.0

Et c'est là que le Big Data va entrer en jeu. Car non seulement le système d'information d'un grand groupe génère de grosses volumétries de log, mais les concepteurs des attaques APT jouent sur la durée pour se faire oublier. Leurs attaques peuvent s'étaler sur 6 mois, un an, voire plus pour ne pas éveiller l'attention des ingénieurs chargés de la sécurité IT. Pour les contrer, il faut donc conserver les traces sur une durée plus longues encore. C'est là que les solutions de type Hadoop permettent de stocker plus de données et de lancer des analyses complexes pour trouver les comportements suspects.

"Le Big Data permet de regrouper de grands volumes de données, et c'est la corrélation de ces données qui permet de détecter ce que l'on appelle les signaux faibles laissés par les cyberattaques", ajoute l'expert. "Ces indices permettront de repérer qu'une attaque persistante avancée, par nature sournoise et d'un haut niveau de complexité, est en cours. C'est par des calculs statistiques ou des effets de remise en contexte de données qui sont a priori décorrélées, que l'on peut détecter les menaces et se rendre compte qu'une attaque à atteint un certain niveau d'avancement."

Précédent
Suivant