Qu’est-ce que l’analyse comportementale UEBA?

L’UEBA, c’est de l’analyse comportementale. Cet acronyme signifie ‘User and Entity Behavior Analytics’ (Analyses comportementales des utilisateurs et des entités), c’est un processus de sécurité axé sur la surveillance des comportements suspects. Il se concentre à la fois sur le comportement des utilisateurs et sur celui d’autres entités telles que les applications Cloud, mobiles ou sur site, les endpoints, les réseaux et les menaces externes. En utilisant l’apprentissage automatique (Machine Learning), l’UEBA crée des références pour chaque entité du réseau, et les actions sont évaluées par rapport à ces dernières.

L’analyse comportementale permet aux analystes de répondre à la question : qu’est-ce qui est normal et qu’est-ce qui ne l’est pas ? Cette possibilité évite aux analystes d’avoir à créer des règles prédéfinies compliquées pour définir ce qui est autorisé. Ainsi il est possible de prendre conscience de la situation avant, pendant et après avoir répondu aux violations. En termes simples, avec l’UEBA, vous suivez tous les utilisateurs et entités tout en aidant les analystes à déterminer ce qu’il faut rechercher.

Quelle est la différence entre UEBA et UBA ?

Auparavant, le terme User Behavior Analytics (UBA) décrivait le processus de suivi, de collecte et d’évaluation des données et des activités des utilisateurs au sein de l’infrastructure IT. Mais en 2015, le cabinet Gartner a publié un guide (market guide) définissant le terme ‘User and Entity Behavior Analytics’. L’UEBA a les mêmes capacités que l’UBA, mais peut en plus suivre l’activité des utilisateurs et celle des appareils, des applications, des serveurs et des données. Au lieu d’analyser les données comportementales des utilisateurs, l’UEBA combine le comportement des utilisateurs avec le comportement des entités.

Bénéfices d’une solution UEBA

L’UEBA intégré à une solution SIEM peut couvrir plusieurs cas d’utilisation au niveau sécurité via une seule et même plateforme. En particulier, l’UEBA offre une détection des menaces internes. Cette capacité permet de révéler soit des attaques extérieures qui ont réussi à pénétrer le périmètre d’une entreprise, soit des comportements qui peuvent menacer les activités de l’entreprise depuis l’intérieur. L’UEBA améliore également l’efficacité des outils de sécurité existants, prend en charge la surveillance des entités et aide les entreprises à se conformer aux réglementations en vigueur dans leur secteur.

Les principaux avantages d’une solution UEBA sont :

  • La détection automatisée des menaces : en utilisant l’apprentissage automatique et l’analyse comportementale, les entreprises peuvent contourner la pénurie d’analystes expérimentés en cybersécurité et optimiser les ressources existantes pour détecter les menaces.
  • Un risque réduit : les comptes utilisateur compromis offrent tout simplement les ‘clés du royaume’, générant ainsi des dégâts majeurs en cas de violation. La détection précoce d’identifiants compromis est essentielle pour mitiger les risques et la perte de données.
  • Un temps de réponse moyen réduit (MMtR) : l’UEBA offre un score de risque de haut niveau et réduit le temps de réponse aux attaques, libérant ainsi du temps pour l’équipe de sécurité.
  • Une réduction du bruit : l’analyse comportementale permet d’éliminer les faux positifs, de sorte que les équipes de sécurité peuvent se concentrer sur la recherche d’activités comportant un risque réel et prioriser, au sein de l’entreprise, la réponse aux incidents les plus critiques.

UEBA versus SIEM

Au début de l’UEBA, les analyses s’appuyant sur l’apprentissage automatique étaient souvent utilisées sur des sources de données uniques. Cependant, il est rapidement devenu évident que les résultats d’une solution UEBA dépendaient entièrement de la qualité et de la corrélation des données provenant de plusieurs sources différentes. La combinaison avec un SIEM qui contient toutes les données de sécurité de l’entreprise et l’utilisation d’une solution UEBA avancée est devenue la solution idéale. Par conséquent, on ne parle plus d’UEBA vs. SIEM, mais plutôt d’une solution SIEM augmentée d’une capacité UEBA. L’approche des SIEM traditionnels et des autres outils de sécurité existants, basée sur des règles et des seuils, produit de nombreux faux positifs et une quantité massive d’alertes. Lorsque le SIEM est augmenté d’une capacité UEBA, il aide les analystes à traquer les menaces, réduit le temps passé sur les faux positifs et permet aux équipes de sécurité de se concentrer sur les menaces critiques.

Infographie SIEM vs UEBA

L’UEBA réduit le Time-To-Value

Le fait d’avoir un SIEM comme source de données pour alimenter l’UEBA offre non seulement un pool de données de log précieuses, mais permet également à votre SOC de travailler plus intelligemment en réduisant le temps de réponse. Par conséquent, il n’est pas nécessaire de faire un mapping ou une personnalisation. Cette possibilité réduit considérablement le time-to-value. L’architecture de déploiement offre une scalabilité aisée afin d’augmenter le nombre d’entités et le volume de données. L’UEBA crée des références pour chaque entité du réseau en profitant des capacités offertes par le Big Data en matière d’apprentissage automatique et d’analyse. Les actions sont ensuite évaluées par rapport à ces références. Par conséquent, la définition des règles et des seuils appropriés dans le SIEM est moins critique, faisant ainsi gagner du temps à vos analystes.

Scores de risque de l’analyse comportementale UEBA

La différence majeure d’un SIEM augmenté avec une solution UEBA sera pleinement visible une fois que vous commencerez à observer les informations présentées par l’UEBA, lesquelles fourniront un score de risque pour les utilisateurs et les entités. Les résultats de l’UEBA peuvent être corrélés avec des événements SIEM. Une telle capacité permet de mieux comprendre le contexte des incidents. En utilisant un Modern SIEM avec une capacité UEBA, vous pourrez enrichir les données de log d’origine à l’aide des informations des algorithmes d’apprentissage automatique et mieux découvrir le comportement suspect des utilisateurs dans le SIEM lui-même. Les activités à haut risque et les informations contextuelles seront ensuite présentées à l’analyste pour une investigation complémentaire, permettant ainsi de prendre des décisions plus rapides et plus éclairées. L’analyse comportementale avancée permet à votre équipe de cybersécurité de travailler plus intelligemment en accélérant la détection et la réponse aux menaces, sans augmenter la charge de travail de votre équipe.

L’analyse comportementale pour identifier et bloquer les menaces internes

Détecter les menaces internes avant qu’elles n’aient la possibilité de compromettre une entreprise reste un défi majeur à l’heure actuelle. Le rapport ‘2020 Insider Threat Report’ de Cybersecurity-Insiders a révélé que 68% des entreprises ont observé que les menaces internes étaient devenues plus fréquentes au cours des 12 derniers mois. Selon le rapport Verizon 2020 sur les violations de données, plus de 25% des violations ont mis des mois, voire plus, avant d’être découvertes. Un tel constat signifie qu’au moment où les violations ont été détectées, les dommages avaient déjà été causés. Ainsi, trouver rapidement les indicateurs de compromission (IOC) est essentiel. Une fois que des identifiants ont été compromis et que l’attaquant contrôle le compte, les contrôles classiques sont insuffisants. Une fois qu’un attaquant est en possession d’identifiants, une détection efficace consiste à surveiller les comportements anormaux au sein de l’infrastructure à l’aide de l’UEBA.

Cette approche s’est avérée utile pour contrer les trois types les plus courants de menaces internes :

Compromission potentielle de compte

Avec l’UEBA, la détection des comportements suspects et des comptes compromis devient de plus en plus pratique et intuitive. Une fois que l’UEBA détecte les indicateurs d’activité suspects dans un réseau, il fera un rapprochement au niveau des anomalies rencontrées afin de donner aux analystes une vision complète sur les activités, la géographie, l’authentification et les utilisateurs ou entités impliqués.

Compromission de la machine

Another common approach for advanced persistent threats (APTs), prolonged attacks, and more complex breaches is when machines are compromised and act as staging platforms for further attacks. UEBA typically uses endpoint and network data to build baselines and detect anomalous activity. It also applies analytics to detect traffic that originates from machines.

Attaques internes et mouvement latéral

Après être parvenu à pénétrer au sein du système, l’attaquant tente de comprendre le réseau et de rechercher des données à forte valeur. Les attaquants utiliseront des applications d’analyse ou des commandes du système d’exploitation pour mieux comprendre comment se déplacer et accéder aux données ciblées au sein d’un réseau. L’UEBA utilisera un mélange d’informations provenant des endpoints, d’Active Directory et d’autres référentiels de données pour surveiller les comportements qui diffèrent des références considérées comme normales. Ces derniers comprennent : une activité inhabituelle identifiée en fonction du jour ou de l’heure, un accès inhabituel aux serveurs, partages de fichiers, applications ou à d’autres ressources, un accès anormalement élevé à des ressources spécifiques, une utilisation anormale des applications et des méthodes d’accès au stockage inhabituelles.

Les avantages de l'analyse comportementale UEBA

Nos recommandations en terme d’analyse comportementale UEBA

  • Définir les cas d’utilisation : si vous envisagez de déployer une solution UEBA, vous devez clairement définir les cas d’utilisation à traiter. Il serait utile que vous décriviez également le résultat souhaité en sortie de la solution UEBA pour chacun de ces cas. Une telle précaution vous permettra d’obtenir une efficacité maximale face à des problèmes critiques.
  • Prenez en compte les sources de données : vous devez vous assurer que la solution UEBA pourra prendre en charge les sources de données nécessaires à vos cas d’utilisation prioritaires. Vérifiez si ces cas d’utilisation peuvent être implémentés sous une forme prête à l’emploi avec des analyses préexistantes et déterminez le niveau d’effort attendu pour les cas d’utilisation personnalisés.
  • Preuve de concept : vous pouvez inclure une phase de preuve de concept (POC) dans votre processus. À cet égard, il est important de se rappeler qu’un POC UEBA peut durer 30 jours pour permettre aux algorithmes d’apprentissage automatique d’apprendre les données de votre entreprise et de construire les références à l’aide des données live ou historiques.
Conseils pour tirer parti d'une solution UEBA