Le machine learning au service de la cybersécurité
Un système de sécurité avancé peut s’adapter aux fluctuations grâce à la technologie du machine learning qui détecte et règle les problèmes automatiquement, sans agents humains - une capacité qu’on appelle adaptabilité.
Le machine learning au service de la cybersécurité
Un système de sécurité avancé peut s’adapter aux fluctuations grâce à la technologie du machine learning qui détecte et règle les problèmes automatiquement, sans agents humains - une capacité qu’on appelle adaptabilité. Cette manière d’automatiser devient de plus en plus importante dans les environnements du cloud hybride d’aujourd’hui. Par exemple, vous pouvez avoir une visibilité réduite sur la façon dont les personnes utilisent leurs téléphones portables pour télécharger des applications et des données via le réseau de l’entreprise. Beaucoup d’employés utilisent Box, Dropbox, Evernot, Of ce 365 ou d’autres applications cloud pour des activités personnels et professionnels et ils utilisent peut-être un compte personnel Gmail pour envoyer et recevoir des données liées à l’entreprise. Pratique pour les utilisateurs mais problématique pour les services IT qui, sans politiques strictes, perdent le contrôle de l’utilisation des applications, tout comme la gestion et le stockage des données qui sont liés à cette utilisation.
Les grandes entreprises ont généralement des centaines de services cloud. Les fournisseurs de cloud top-tiers garantissent la sécurité de l’infrastructure, mais les clients sont responsables de la protection de leurs propres données dans le cloud. Les violations de données et les attaques se produisent quand des entreprises manquent d’un système assez efficace d’administration des identités et des accès. En outre, les applications programming interfaces (APIs) et les interfaces utilisateurs ont des adresses IP qui peuvent être utilisées en dehors des limites de confiance imposées par l’entreprise. Parce qu’elles sont exposées, ces ressources peuvent être la cible d’attaques sur internet. Un Cloud Accès Security Broker (CASB) peut être une aide au management cloud : il régule les échanges entre les utilisateurs cloud et les fournisseurs cloud et consolide les actions visant à appliquer les politiques de sécurité. Par exemple, le service cloud Oracle CASB protège les données critiques en combinant la visibilité, la détection de menaces, le management de la conformité et l’automatisation des réponses aux incidents pour les services cloud au sein d’une seule plateforme. A la frontière entre une infrastructure on-premise et une infrastructure cloud, le service cloud Oracle CASB agit comme gatekeeper, vous permettant d’étendre les politiques de sécurité au-delà votre propre infrastructure. Les utilisateurs peuvent accéder en toute sécurité aux services cloud, même depuis un PC d’entreprise derrière un pare-feu ou depuis un téléphone portable connecté en wifi à un café. Votre équipe de sécurité gagne en visibilité sur les processus de shadow IT et peut sécuriser plus fiablement les services cloud autorisés, y compris Amazon Web Services, Google Apps et Salesforce.
« Oracle exploite le machine learning, l’Intelligence Artificielle et la vigilance contextuelle avec son service CASB pour faire face à l’essor des incidents de sécurité qui ciblent les identifications privilégiées des utilisateurs finaux. »
Les CASB dépendent de l’analyse du comportement utilisateur (UEBA) pour élaborer des baselines historiques et uniques pour chaque utilisateur et service cloud. Ils comparent en continue les activités inhabituelles avec celles attendues par la baseline afin d’identifier des comportements inhabituels, suspicieux ou potentiellement risqués. Une fois que le CASB détecte une déviation, il automatise une réponse intelligente, peut-être en l’intégrant à un ticket et à un système de management des incidents pour comparer l’incident à des incidents semblables, et finalement, proposer des moyens correctifs adaptés de remédiation par un agent humain.
Grâce à des algorithmes de machine learning, Oracle CASB comprend les caractéristiques d’un comportement normal pour chaque application. Il définit une baseline pour un comportement utilisateur normal, à partir desquels il peut mesurer les déviations. Si un utilisateur manifeste un comportement qui dépasse les attentes établies, le comportement peut être considéré comme une anomalie. Par exemple, si un employé a des membres de sa famille en Ukraine, et qu’occasionnellement, il travaille depuis là-bas, le fait d’ouvrir sa session ne sonnera pas l’alerte. Par contre, si un employé qui ne se rend jamais en Ukraine se connecte soudainement depuis là- bas, le système pourrait exploiter l’Adaptative Access Engine du CASB et forcer la Multi-Factor Authentification (MFA) en lançant une procédure à deux facteurs d’identification afin de vérifier l’identité de l’utilisateur.
Ainsi, le système de sécurité devient de plus en plus intelligent avec le temps. Plus il étudie des données, plus il connaît les utilisateurs, plus les applications qui relèvent de sa compétence sont nombreuses, mieux il comprend les comportements malveillants ou suspicieux quand ils surviennent. Par exemple, le CASB peut monitorer les applications dont les utilisateurs se servent d’habitude, les lieux depuis lesquels ils se connectent, comment ils accèdent aux services cloud et l’heure à laquelle ils sont le plus souvent connectés. S’il suspecte le hackage d’un compte, il peut exiger une réinitialisation d’un mot de passe ou une procédure d’authentification en deux temps.