Une cybersécurité efficace commence et se termine par les données.
Étant donné que les attaquants peuvent déployer leurs charges utiles en quelques secondes, s'assurer que votre équipe de sécurité n'attend pas des minutes ou des heures que sa plate-forme d'opérations de sécurité remarque qu'une attaque est en cours peut faire la différence entre une menace isolée et une compromission généralisée. Même si la plupart des produits de cybersécurité modernes peuvent détecter rapidement les menaces, ce qui a un impact sur leurs performances globales, ce sont les choix de conception effectués dès le début du processus de développement du produit, en particulier la manière dont le produit gère et traite les données. Dans ce blog, j'expliquerai comment la détection des menaces basée sur l'IA pourrait fonctionner avec chaque approche en utilisant une organisation fictive travaillant avec cinquante produits de sécurité différents et cinquante sources de données différentes pour sécuriser leurs environnements.
Un petit aparté sur la détection des menaces basée sur l'IA
Deux approches distinctes de gestion des données
Schéma en lecture
Schema-on-Read est une approche de gestion de données dans laquelle l'ingestion de données brutes se produit sans appliquer de schéma prédéfini. Cette approche intègre plus rapidement de nombreuses sources de données différentes car il n’est pas nécessaire de comprendre le format de la source de données au préalable. Au lieu de cela, les données brutes sont stockées telles quelles et tout schéma requis pour le traitement est effectué au moment de la lecture sans altérer les données brutes. De nombreux ingénieurs de données préfèrent Schema on Read car il leur permet de :
- Ingérez les données plus rapidement puisqu’aucune structuration initiale n’est requise.
- Adaptez-vous aux situations où les formats de données changent constamment.
- Gérez un large éventail de sources de données sans modifier leur schéma.
Comme pour toute technologie, l’adoption d’une approche Schema-on-Read pour la gestion des données présente des inconvénients :
- Les performances de recherche en souffrent
- L'analyse des données est gourmande en ressources sur le calcul
- Une propension plus élevée aux incohérences et aux erreurs des données.
Détection des menaces basée sur l'IA dans un monde de schéma à la lecture
Maintenant que nous avons discuté des avantages et des inconvénients de Schema-on-Read. Voyons comment la détection des menaces basée sur l'IA pourrait fonctionner sans schéma sur les données. Comme mentionné précédemment, la détection des menaces basée sur l'IA identifie les anomalies par rapport au comportement attendu. Compte tenu de cette exigence, un produit de sécurité basé sur l’IA nécessiterait une logique complexe conçue pour normaliser et enrichir les données « à la volée » à travers les données stockées dans différents formats. Chaque enregistrement doit être traité à la volée pour ne manquer aucune anomalie. Il n’est pas difficile d’imaginer que cette approche pourrait rapidement devenir coûteuse, car elle nécessitera une puissance de traitement et une mémoire importantes et continues pour stocker temporairement les données traitées pour différentes détections pilotées par l’IA. Ainsi, même si l’idée d’ingérer des données brutes semble bonne et pourrait s’appliquer à certains cas d’utilisation non liés à la cybersécurité concernant la détection des menaces basée sur l’IA, les coûts permanents peuvent rapidement devenir incontrôlables. Le prix peut devenir incroyablement prohibitif et imprévisible lorsque le stockage des données et la détection basée sur l’IA proviennent de fournisseurs différents.
Schéma sur écriture
Contrairement au schéma en lecture, le schéma en écriture effectue un ETL (Extract, Transform, Load), qui applique une certaine structure (schéma) aux données à l'avance, transforme et valide les données ingérées avant d'écrire dans un magasin de données. Comme vous vous en doutez, les avantages de Schema on Write :
- Intégrité accrue des données et minimisation de leur incohérence
- Recherches rapides et efficaces
- Analyse des données simple et rapide
Pour être honnête, il existe plusieurs limites en ce qui concerne les approches Schema-on-Write en matière de gestion des données :
- Les modifications apportées aux formats de données des sources de données peuvent nécessiter des mises à jour du schéma.
- Le schéma de données doit être mis à jour pour prendre en charge les nouvelles sources de données.
Détection des menaces basée sur l'IA dans un monde de schéma à la lecture
Une fois les avantages et les inconvénients du Schema-on-Write identifiés, examinons maintenant la détection des menaces basée sur l'IA avec des schémas de données appliqués avant l'écriture dans une base de données. Nous supposons que nous travaillons avec la même organisation avec cinquante produits de sécurité différents pour protéger leur environnement. Les transformations de données se produisent avant le chargement dans une base de données lors de l'agrégation des données dans une plate-forme de sécurité de schéma sur écriture. Lors de ce prétraitement, toutes les données sont normalisées et enrichies avec des données provenant d'autres sources. Les capacités de détection des menaces basées sur l'IA fonctionnent désormais avec un ensemble de données propres dans un format standard avec contexte, créant ainsi une variété de références et identifiant les anomalies rapidement, efficacement et avec précision. Par exemple, la détection d'une activité d'identification compromise à partir d'un emplacement physique inhabituel est facilement optimisée puisque l'emplacement géographique a été ajouté aux données pendant le processus d'enrichissement avant l'écriture dans la base de données. De même, toutes les adresses IP, par exemple, peuvent être enrichies d'informations de localisation grâce au processus de normalisation, garantissant ainsi que toute activité inhabituelle de l'utilisateur est facilement détectée.
Quel est le bon choix pour vous ?
Lorsque l’on pense à un avantage concurrentiel durable par rapport aux attaquants, une approche de gestion des données n’est peut-être pas la première chose qui vient à l’esprit, mais elle devrait le faire. Bien qu'il y ait des avantages et des inconvénients à chaque approche de gestion des données évoquée ci-dessus, en fin de compte, vous devez peser l'impact d'une stratégie de gestion des données produit sur vos objectifs avant de l'adopter, car cela a d'énormes implications sur le coût, votre capacité à traquer les menaces grâce à des solutions efficaces. recherche et votre capacité à développer vos propres règles basées sur l'IA ou même manuelles pour la détection des menaces.
Stellar Cyber repose sur une approche de gestion des données Schema-on-Write, offrant à nos clients des résultats de détection des menaces efficaces et précis grâce à l'IA, une chasse aux menaces rapide et une grande flexibilité de développement pour l'analyse des menaces. De plus, en utilisant la fonctionnalité BYODL (Bring Your Own Data Lake) de notre plateforme, les entreprises peuvent réaliser d'importantes économies en stockant uniquement les résultats dans leur propre lac de données ou leur infrastructure existante. SIEMPour en savoir plus sur la façon dont Stellar Cyber optimise notre interaction avec vos données, contactez-nous dès aujourd’hui pour mettre en place une consultation personnalisée.
