Outils et formation : comment le SOC des services secrets répond à ses défis en matière de données
L’un des plus grands défis liés à la gestion d’un centre d’opérations de sécurité (SOC) concerne les données. Soit il y a trop de choses à analyser pour les analystes humains, soit il y a des lacunes dans les données qui créent des angles morts sur le réseau. Mais Roy Luongo, responsable de la sécurité de l’information pour les services secrets américains, a déclaré que c’est là que disposer des bons outils peut être utile, en particulier l’intelligence artificielle.
Une chose que je demanderais aux gens de ne pas faire, c’est d’avoir trop peur de l’IA. Adoptez l’IA. Nous devons arriver à un point où l’IA peut être un outil et, comme tout outil, elle pourrait être utilisée pour le meilleur ou pour le meilleur. … Je pense qu’en matière de cybersécurité, l’IA a la capacité de transmettre plus de données plus rapidement qu’un humain, a déclaré Luongo sur Federal Monthly Insights Securing the Nation : Une plongée en profondeur dans les opérations de sécurité fédérales. J’envisage un modèle de langage d’IA entièrement formé axé sur les données fédérales de cybersécurité. C’est ce que je veux qu’il apprenne. Je veux qu’il comprenne cela. Et puis je veux pouvoir l’interroger avec des requêtes en langage natif plutôt que d’avoir à connaître SQL ou KQL ou à choisir votre langage de requête.
L’IA est particulièrement utile lorsqu’il s’agit de normaliser et de minimiser les données, a déclaré Luongo. Il peut gérer des quantités massives de données qui submergeraient les analystes humains. Et l’IA peut réduire cet ensemble de données de manière à le rendre plus utile. Il peut filtrer les données redondantes provenant de sources dissociées et contribuer à faciliter la détection des indicateurs de compromission.
Les bons outils pour le personnel
Mais parfois, les nouveaux outils peuvent être une arme à double tranchant, a déclaré Luongo.
Si j’apporte un nouvel outil, je dois comprendre que l’énoncé des travaux ne dit pas que vous devez fournir des personnes connaissant l’outil X. Je dois trouver comment intégrer cela. Je dois fournir cela, a déclaré Luongo au Conduite fédérale avec Tom Temin. Je pense que nous oublions souvent que nous intégrons l’outil le plus récent et le plus performant, mais que l’intégration aura un impact sur notre productivité. Et trop de gens oublient qu’ils veulent une solution clé en main, ce qui est formidable, mais cela ne signifie pas que tous les employés sous-traitants ou nourris seront aussi clé en main que cette solution. Nous devons donc comprendre qu’il existe une période d’intégration qui intègre les personnes possédant cet ensemble de compétences, et pas seulement la technologie, dans notre solution.
Même si le RSSI déterminera en fin de compte quels outils seront utilisés dans son SOC, Luongo a déclaré qu’il était également important d’écouter les sous-traitants. Ils sont embauchés comme experts en cybersécurité ; ce serait une myopie de ne pas profiter de leur expertise. Ils peuvent constituer une ressource considérable en fournissant des solutions allant au-delà de la simple réponse à un besoin immédiat en matière de cybersécurité.
La bonne main-d’œuvre pour le SOC
Luongo a déclaré qu’il était également important de prendre en compte les certifications dont disposent les entrepreneurs, même si elles sont certifiées par le fournisseur lui-même. Ils constituent un indicateur de compétences potentielles ; qu’elle puisse ou non les appliquer, cette personne a démontré à un moment donné des connaissances, des compétences ou des capacités dans ce domaine particulier.
Ainsi, lorsque nous examinons les certifications et que nous le faisons à la fois avec nos employés du gouvernement et avec nos fournisseurs sous contrat, ce que nous faisons en réalité, c’est réduire certains risques. « Nous disons, hé, si nous commençons à ce niveau de certification, il y a un certain niveau d’assurance qu’ils savent certaines choses, que je n’ai pas besoin de les former, ou pas », a-t-il déclaré. Je pense qu’il est vraiment important de comprendre que ce certificat n’est qu’un indicateur. Et dans le cadre d’un bon développement de la main-d’œuvre, je dois offrir des opportunités aux personnes qui n’ont peut-être pas besoin d’un certificat aujourd’hui, mais qui ont un parcours professionnel qui pourrait à l’avenir avoir la possibilité d’obtenir ce certificat.
Il a également déclaré que la certification spécifique n’est pas aussi importante que les connaissances ou les compétences qu’elle atteste. Bien que certains niveaux de privilèges nécessitent des critères spécifiques, la plupart du temps, il n’y a aucun avantage à donner la priorité à une seule certification alors que trois ou quatre peuvent suffire.
Et il est important de ne pas faire de différence entre les employés fédéraux et les sous-traitants, a déclaré Luongo, en dehors des limites des réglementations spécifiques concernant les informations privilégiées, bien sûr. Mais en général, une bonne gestion des accès aux privilèges s’en chargera ; sinon, c’est leur rôle au sein du SOC qui est important.
Si je paie un employé du SOC, je ne veux personnellement pas être limité par le fait que cet employé est un entrepreneur ou un employé fédéral, a déclaré Luongo. Ils font un travail. Ils doivent disposer de tous les outils nécessaires pour faire leur travail, ce qui inclut des privilèges élevés. Je dois faire confiance à cette personne pour ce faire.
Copyright © 2024 Réseau d’information fédéral. Tous droits réservés. Ce site Web n’est pas destiné aux utilisateurs situés dans l’Espace économique européen.