Cybersécurité

Les approches traditionnelles de défense, basées sur le périmètre, sont mal équipées pour prendre en charge les menaces sophistiquées qui naissent aujourd'hui à l'intérieur même d'une agence. Lorsque les agences remplacent leur système de gestion des informations et des événements de sécurité (SIEM) par Splunk^®, c'est pour répondre à un besoin majeur : traiter les événements de sécurité de façon plus proactive.

La plate-forme big data de Splunk :

• Capture les données de log de sécurité et d'opération des applications stratégiques
• Aide les équipes de réaction aux incidents et d'investigation à procéder plus rapidement à l'analyse des causes profondes au sein de volumes de données plus importants et de types plus variés
• Repère les phénomènes remarquables, les comportements malveillants et les attaques indétectables pour les systèmes basés sur des signatures et des règles
• Apporte une valeur ajoutée et accélère la prise en charge des incidents en combinant les données des solutions de sécurité ponctuelles traditionnelles et les interactions utilisateur-machine authentifiées pour replacer les événements dans leur contexte.

À l'aide d'analyses statistiques, d'analyses comparatives des activités personnelles et d'analyses contextuelles des activités des utilisateurs, la technologie Splunk peut établir des corrélations entre ces types de données stratégiques et les activités des utilisateurs pour une compréhension plus riche des circonstances d'un comportement potentiellement malveillant.

Menaces internes

Les agences doivent absolument détecter les menaces internes et sont donc à la recherche de nouveaux moyens de comprendre des comportements utilisateur complexes. Savoir faire la différence entre les actes délibérés et les erreurs innocentes nécessite de comprendre si l'activité d'un utilisateur est anormale dans le contexte plus large de son comportement.

L'identification des activités non autorisées ou suspectes se fait en appliquant les commandes d'analyse statistique de Splunk à de très gros volumes de données.

Avec Splunk, vous pouvez :

• Consulter tous les types de données via des services Web ou un accès direct aux bases de données.
• Indexer des dizaines de téraoctets de données par jour et appliquer des analyses statistiques à des données de référence pour détecter les comportements marginaux.
• Procéder à des évaluations des dommages en repérant les tendances de trafic et de communication dans les données de log réseau, les données des emails et autres méthodes de transfert de fichiers.
• Consulter les données des douanes et du contrôle des frontières pour révéler les déplacements transfrontaliers.
• Charger des données dans Splunk à partir de bases de données contenant des données de divulgation financière obtenues auprès des services de crédit en contact avec le public.

À l'aide d'analyses statistiques, d'analyses comparatives des activités personnelles et d'analyses contextuelles des activités des utilisateurs, la technologie Splunk peut établir des corrélations entre ces types de données stratégiques et les activités des utilisateurs pour une compréhension plus riche des circonstances d'un comportement potentiellement malveillant.

Évaluation continue

Les activités des personnes qui ont accès à des informations gouvernementales sensibles doivent être surveillées afin de détecter celles qui pourraient être interprétées comme malveillantes dans le contexte d'autres informations externes. Voyages non autorisés, fluctuations importantes des scores de crédit, changements majeurs dans les relations et création d'une entreprise sont autant d'activités qui peuvent être tracées dans différents systèmes informatiques.

Splunk peut surveiller et analyser ce type de données informatiques en repérant les comportements anormaux et en établissant des corrélations à la demande avec d'autres sources de données externes, à l'intérieur comme à l'extérieur de l'agence. Cette approche peut vous permettre de faire la différence entre une infraction accidentelle à une politique et une intention malveillante.

L'Internet des objets
et le champ de bataille des données

En 2015, l'Armée américaine va commencer à tester le TALOS (armure de combat tactique légère) sur le terrain, en vue d'un déploiement en 2018. Les données des capteurs de l'armure peuvent fournir des informations sur l'état opérationnel de ses circuits hydrauliques et de ses batteries. Les prochaines étapes le plus souvent évoquées concernent la surveillance des signes vitaux du soldat et de son degré d'hydratation.

Ces données peuvent être corrélées à des données GPS, des données de performance des armes et des informations sur la santé du soldat afin de produire des renseignements de localisation et d'état sur n'importe quelle unité. Les unités peuvent être surveillées en temps presque réel et réapprovisionnées de façon proactive grâce à l'ajout d'éléments RFID à l'équipement. Les données RFID permettent d'effectuer un suivi d'inventaire pour faciliter la gestion de la chaîne d'approvisionnement et informer automatiquement les fournisseurs. Le rapprochement des données fabricant et des informations de performance peut permettre de savoir quels lots de quels fabricants présentent des performances inférieures aux attentes.

Qualifications DoD
et certifications

• Certification Critères communs EAL-2 (v6.0) en cours
• Certification Critères communs EAL-2 (v4.1.7)
• Army LCON
• Approuvé sur NIPR, SIPR et JWICS
• DADMS Navy et Marine
• DIA EMTK 2.0 (validation DoDIIS pour JWICS)
• Déployé dans les environnements certifiés et accrédités STIG