SAS gaat de weddenschap aan dat voorspellende en gedragsanalyse, toegepast op operationele computerdata zoals serverlogs, kan helpen bij het identificeren en ontmoedigen van inbraakpogingen en andere schadelijke activiteiten, op het moment zelf dat ze zich voordoen.

Met SAS Cybersecurity zegt de softwareproducent in realtime de grote hoeveelheden operationele data op het netwerk te kunnen bewaken. De software, die beschikbaar zal zijn voor het einde van het jaar, zal een routine-activiteitenmodel ingang doen vinden dat als basis zal dienen om verdacht gedrag op te sporen en te melden. SAS gaat ook haar banksoftware personaliseren. Een ander pakket, Model Risk Management genaamd, zal nauwkeurig in model kunnen brengen de werking van de bank, zodat ze haar financiële risico’s beter begrijpt en de toezichthouders van deze risico’s op de hoogte kan brengen.

Volgens een onderzoek van IDC en SAS zou 35% van de cyberaanvallen nog niet ontdekt worden. Om deze plaag te bestrijden ziet de softwareproducent slechts twee strategieën: reactie of voorspelling. Reactie is lang de basisstrategie geweest, en is dat voor velen nog steeds: inbraken, blokkeerpogingen, fraude zo snel mogelijk detecteren zodra ze zich voordoen. Hoe sneller de aanval wordt opgespoord, hoe beperkter de gevolgen ervan zullen zijn. Maar op dezelfde manier als de analyse van het gedrag van de klant het mogelijk maakt om zijn toekomstige handelingen te raden, en erop te anticiperen, kan aan de hand van de analyse van het ‘gedrag’ op netwerken worden geraden wat met hackingpogingen te maken heeft, en dus ook daar op te anticiperen.

Die voorspellende analyse betekent wel een nog grotere belasting voor systemen waarop ze draait dan de analyse van het gedrag van klanten. Zelfs op een grote e-commercesite zijn de klanten veel minder talrijk dan de potentieel gevaarlijke datapakketten die over een netwerk worden doorgevoerd. We praten hier wel over realtime, en over zeer grote hoeveelheden data. De doelstelling op dit gebied van ‘security analytics’ is verdacht gedrag te blokkeren voor het schade veroorzaakt.

Net zoals de analyse van klantgegevens is de trend externe gegevens toe te voegen, om voorspellende modellen van gedragsanalyse te verbeteren. In dit onderzoek van IDC geeft niettemin nog 40% van de ondervraagden toe dat ze zich alleen baseren op hun eigen gegevens om de incidenten waar ze mee te maken krijgen te beoordelen.

“Correct geoptimaliseerd biedt een Big Data-systeem een interessante mogelijkheid om contextuele gegevens toe te voegen aan de analyses om de juistheid ervan en de detectiesnelheid van bedreigingen te verbeteren,” zegt Stu Bradley, Security Intelligence Director bij SAS.

Met SAS Cybersecurity kunnen elke dag miljarden netwerkgebeurtenissen in real time worden beoordeeld. Deze software is gebaseerd op een enorme ervaring in het modelleren van gedrag van commerciële data. Het systeem verbindt de op het netwerk verzamelde data met gedrag van zaken die al zijn waargenomen. Het doel is om alle bedreigingen te detecteren en te blokkeren, zonder al te veel ‘valse positieven’ die tot een logisch gevoel van frustratie onder de legitieme gebruikers van het netwerk leiden. Het systeem analyseert om te beginnen wat normaal gedrag is, vergelijkt dat vervolgens met in realtime waargenomen gedrag, en bepaalt dan het risico op frauduleus gedrag.