Une aiguille. Une botte de foin. Trouvée.

Les agences gouvernementales de défense et de renseignement ont pour mission de recueillir, analyser et stocker des quantités considérables de données afin de détecter et de mettre en corrélation des phénomènes remarquables en lien avec les menaces de sécurité. Elles ont également besoin de systèmes capables de gérer des contrôles d'accès basés sur les rôles (RBAC) avec un haut niveau de granularité, de façon à ce que seuls ceux qui ont « besoin de savoir » puissent consulter les bonnes données au bon moment.

Splunk® Enterprise, standard industriel pour l'analyse des données massives, est largement déployé dans des centaines d'agences gouvernementales qui l'emploient pour réussir leurs évaluations FISMA et pour :

  • Détecter des phénomènes remarquables et des anomalies sur des téraoctets de données brutes en temps réel, sans compétences spécialisées, normalisation préalable des données ni schémas fixes.
  • Pouvoir utiliser Hunk® : Data stores Splunk Analytics for Hadoop and NoSQL, afin d'obtenir une vision unifiée de vos données
  • Surveillez automatiquement les contrôles NIST 800-53 qui soutiennent le cadre de gestion des risques 800-37
  • Assurez la surveillance continue et l'acquisition des données de contexte pour tous les types d'événements de toutes les couches de l'infrastructure informatique
.


Cybersécurité

Les approches traditionnelles de défense, basées sur le périmètre, sont mal équipées pour prendre en charge les menaces sophistiquées qui naissent aujourd'hui à l'intérieur même d'une agence. Lorsque les agences remplacent leur système de gestion des informations et des événements de sécurité (SIEM) par Splunk®, c'est pour répondre à un besoin majeur : traiter les événements de sécurité de façon plus proactive.

La plate-forme big data de Splunk :

  • Capture les données de log de sécurité et d'opération des applications stratégiques
  • Aide les équipes de réaction aux incidents et d'investigation à procéder plus rapidement à l'analyse des causes profondes au sein de volumes de données plus importants et de types plus variés
  • Repère les phénomènes remarquables, les comportements malveillants et les attaques indétectables pour les systèmes basés sur des signatures et des règles
  • Apporte une valeur ajoutée et accélère la prise en charge des incidents en combinant les données des solutions de sécurité ponctuelles traditionnelles et les interactions utilisateur-machine authentifiées pour replacer les événements dans leur contexte.


À l'aide d'analyses statistiques, d'analyses comparatives des activités personnelles et d'analyses contextuelles des activités des utilisateurs, la technologie Splunk peut établir des corrélations entre ces types de données stratégiques et les activités des utilisateurs pour une compréhension plus riche des circonstances d'un comportement potentiellement malveillant.

Image non affichée


Menaces internes

Les agences doivent absolument détecter les menaces internes et sont donc à la recherche de nouveaux moyens de comprendre des comportements utilisateur complexes. Savoir faire la différence entre les actes délibérés et les erreurs innocentes nécessite de comprendre si l'activité d'un utilisateur est anormale dans le contexte plus large de son comportement.

L'identification des activités non autorisées ou suspectes se fait en appliquant les commandes d'analyse statistique de Splunk à de très gros volumes de données.

Avec Splunk, vous pouvez :

  • Consulter tous les types de données via des services Web ou un accès direct aux bases de données.
  • Indexer des dizaines de téraoctets de données par jour et appliquer des analyses statistiques à des données de référence pour détecter les comportements marginaux.
  • Procéder à des évaluations des dommages en repérant les tendances de trafic et de communication dans les données de log réseau, les données des emails et autres méthodes de transfert de fichiers.
  • Consulter les données des douanes et du contrôle des frontières pour révéler les déplacements transfrontaliers.
  • Charger des données dans Splunk à partir de bases de données contenant des données de divulgation financière obtenues auprès des services de crédit en contact avec le public.


À l'aide d'analyses statistiques, d'analyses comparatives des activités personnelles et d'analyses contextuelles des activités des utilisateurs, la technologie Splunk peut établir des corrélations entre ces types de données stratégiques et les activités des utilisateurs pour une compréhension plus riche des circonstances d'un comportement potentiellement malveillant.

Image non affichée




Évaluation continue

Les activités des personnes qui ont accès à des informations gouvernementales sensibles doivent être surveillées afin de détecter celles qui pourraient être interprétées comme malveillantes dans le contexte d'autres informations externes. Voyages non autorisés, fluctuations importantes des scores de crédit, changements majeurs dans les relations et création d'une entreprise sont autant d'activités qui peuvent être tracées dans différents systèmes informatiques.

Splunk peut surveiller et analyser ce type de données informatiques en repérant les comportements anormaux et en établissant des corrélations à la demande avec d'autres sources de données externes, à l'intérieur comme à l'extérieur de l'agence. Cette approche peut vous permettre de faire la différence entre une infraction accidentelle à une politique et une intention malveillante.





L'Internet des objets
et le champ de bataille des données

En 2015, l'Armée américaine va commencer à tester le TALOS (armure de combat tactique légère) sur le terrain, en vue d'un déploiement en 2018. Les données des capteurs de l'armure peuvent fournir des informations sur l'état opérationnel de ses circuits hydrauliques et de ses batteries. Les prochaines étapes le plus souvent évoquées concernent la surveillance des signes vitaux du soldat et de son degré d'hydratation.

Ces données peuvent être corrélées à des données GPS, des données de performance des armes et des informations sur la santé du soldat afin de produire des renseignements de localisation et d'état sur n'importe quelle unité. Les unités peuvent être surveillées en temps presque réel et réapprovisionnées de façon proactive grâce à l'ajout d'éléments RFID à l'équipement. Les données RFID permettent d'effectuer un suivi d'inventaire pour faciliter la gestion de la chaîne d'approvisionnement et informer automatiquement les fournisseurs. Le rapprochement des données fabricant et des informations de performance peut permettre de savoir quels lots de quels fabricants présentent des performances inférieures aux attentes.





Splunk élu leader - Gartner Magic Quadrant, 2014

Découvrez comment les analyses de sécurité Splunk surpassent les SIEM traditionnels.

Lire le rapport


Qualifications DoD
et certifications

  • Certification Critères communs EAL-2 (v6.0) en cours
  • Certification Critères communs EAL-2 (v4.1.7)
  • Army LCON
  • Approuvé sur NIPR, SIPR et JWICS
  • DADMS Navy et Marine
  • DIA EMTK 2.0 (validation DoDIIS pour JWICS)
  • Déployé dans les environnements certifiés et accrédités STIG


Demandez à un expert

Nos représentants comprennent les besoins uniques des agences gouvernementales, des ministères et de leurs prestataires.

Écrivez-nous à l'adresse dod@splunk.com.

Contactez-nous
expert vi ly