Qu'est-ce que l'UEBA (User and Entity Behaviour Analytics) ?
Il existe de nombreuses façons de sécuriser un réseau. Les meilleures méthodes impliquent généralement des solutions logicielles qui combattent les codes malveillants ou surveillent les tentatives d'accès non autorisées de l'extérieur. Cependant,un aspect souvent pris à la légère, voire ignoré, concerne les attaques dedansle réseau – par les utilisateurs derrière le pare-feu.
Ce type d'attaques peut être freiné à l'aide des outils UEBA.
Eh bien, qu’est-ce que l’UEBA ?
Analyse du comportement des utilisateurs et des entités (UEBA)est un processus de cybersécurité quiimplique :
- Nous surveillons les données d'utilisation et de comportement normauxdes utilisateurs et des entités.
- Définir une ligne de baseen utilisant ces données.
- Suivre leurs activités actuelles en temps réel pour repérer tout écartà partir de la ligne de base.
Ces écarts sont ensuite analysés pour trouver toute indication d'activité malveillante de la part d'un utilisateur ou d'une entité.
L'UEBA exploite les événements du réseau– généralement de grands ensembles de données stockés sous forme de journaux et de pistes d’audit – pour modéliser les comportements typiques et atypiques des utilisateurs et des appareils sur le réseau.
Le processus utiliseapprentissage automatique,algorithmes,statistiques, etanalyse des signatures de menacessur les données passées. Il compare ensuite les activités quotidiennes actuelles des utilisateurs, qui sont alors classées comme « normales » ou potentiellement réelles.des menaces« .
À titre d’exemple, supposons qu’un utilisateur télécharge généralement 15 Mo de données chaque jour. S’ils commençaient soudainement à télécharger des gigaoctets de données, cela serait hors norme et considéré comme un écart qui nécessiterait une attention particulière.
Certaines activités qui pourraient être détectées à l'aide de cette méthode comprennentidentifiants compromis,mouvements latéraux, et d'autres activités malveillantes.
Un point critique à comprendre ici serait queL'UEBA ne suit pas les événements de sécurité et ne surveille pas les appareils. Plutôt,il se concentre sur le réseauactivitésdes utilisateurs et des appareils dans le cadre de leurs activités. On peut donc dire queil s'agit d'un outil qui surveille les internes – généralement les employés – dont les informations d'identification ont été volées ou qui sont intentionnellement devenues des voyous..De plus, il est utilisé pour empêcher les titulaires de comptes qui ont déjà accèsau réseau et à ses actifs connectés de mener des attaques ciblées ou de tenter de commettre une fraude.Enfin, il suit également les applications, les appareils et les serveurspour garantir que ces utilisateurs malveillants ne les exploitent pas.
Différence entre UBA et UEBA
Avant l'UEBA, nous avionsUBA – Analyse du comportement des utilisateurs. Ce processus s'est uniquement concentré sur l'aspect humain ; il gardait une trace des utilisateurs et rien d'autre.
Maintenant,L'UEBA étend UBA pour inclure des entitéscomme les routeurs, les points finaux et les serveurs. Cela a créé un outil de sécurité plus robuste pourdétecter les attaques complexes en corrélant les entrées d'utilisateur, d'appareil et d'adresse IP.
Cette extension est devenue une nécessité lorsqu'il a été reconnu qu'en cas de menace, les entités pouvaient également être utilisées comme sources d'informations et aider les administrateurs à identifier avec précision les sources des menaces.
Ceci est encore plus important aujourd’hui alors que nous assistons à l’essor de tous les types d’appareils connectés qui constituent ce que nous appelons désormais « »L'Internet des objets' ouIdO. À mesure que le nombre de ces appareils augmente, le nombre de points d’entrée potentiels d’attaque augmente également.
Comment fonctionne l'UEBA ?
Le processus UEBA implique de connecter les activités du réseau à des utilisateurs spécifiquesau lieu du matériel ou de leurs adresses IP.
La source de données est généralement constituée de référentiels de données générales – tels que des journaux et des pistes d'audit – qui sont stockés dans lacs de données ou entrepôts de données . Les données sources peuvent également provenir de la gestion des informations de sécurité et des événements ( SIEM ) outils.
Note: UEBA intègre des informations dans les journaux, les captures de paquets et les ensembles de données interorganisationnels similaires qui sont généralement capturés par les outils SIEM. C'est pourquoi l'UEBA et le SIEM sont souvent mis en œuvre ensemble.
Cette approche unique de surveillance des comportements humains et des entités dresse un tableau clair de toute activité inhabituelle qui peut même ne pas être remarquée, et encore moins signalée, par les outils traditionnels de surveillance du périmètre. De plus, même les moindres écarts peuvent être configurés pour déclencher des alertes de menace, permettant ainsi aux administrateurs de juger s'il s'agit effectivement d'une indication précoce d'une menace.
Les données utilisées pour l'analyse contiennent des informations telles que :
- D'où un utilisateur se connecte
- Les fichiers, applications et serveurs qu'ils utilisent régulièrement
- Les rôles et privilèges qui leur ont été attribués
- Le lieu, la fréquence et l'heure d'accès
- La connectivité ou les appareils IoT utilisés pour l'accès
L'UEBA utilise ces entrées pour identifier les attaques non basées sur des logiciels malveillants, évaluer les niveaux de menace, créer des scores de risque et décider si cela doit ou non être porté à l'attention des administrateurs. L’outil peut même les guider vers la réponse appropriée.
Grâce à ces données, l’UEBA peut arrêter un coupable qui, par exemple, a accédé au compte d’un utilisateur parce qu’il ne pourra pas imiter exactement les activités de ses victimes.
Quelle est la portée de l’UEBA ? Ou bien, que peut-il protéger ?
En dehors deattaques depuis le réseau d’une organisation,L'UEBA peut également surveiller les actifs cloud provisionnés dynamiquement ou accessibles à distance.– quelque chose qui serait difficile à réaliser avec des outils de sécurité traditionnels, principalement s'ils ont été implémentés sur site, au sein du réseau local.
Quelles sont les qualités recherchées par l'UEBA ?
Un bon outil UEBAsurveiller plusieurs attributspour l'aider à détecter et alerter les activités suspectes de manière rapide et précise.De plus, la combinaison de fonctionnalités permettra d’établir une base de référence plus inclusive couvrant plusieurs caractéristiques humaines,ce qui rendra plus difficile la tromperie.
Certains attributs essentiels à surveiller comprennent :
- Communicationimplique de garder une trace des données de courrier électronique, de chat et de VoIP pour suivre les personnes avec lesquelles les utilisateurs interagissent.
- Système– leurs empreintes numériques et leur comportement lorsqu'ils sont connectés constituent une source précieuse d'informations qui peuvent être extraites des points finaux, des navigateurs, des fichiers partagés et des habitudes de connexion ; ces données peuvent également être supprimées des SIEM.
- Ressources humaines– la motivation derrière chaque activité suspecte et pourquoi il peut s'agir d'une tentative malveillante peut être extraite des évaluations des performances des employés des RH et d'Active Directory (AD).
- Physique données de localisation– le suivi des mouvements physiques dans les locaux peut fournir des informations précieuses ; cela peut être extrait en surveillant les données des badges, les emplacements de connexion et les historiques de voyage.
Comme nous pouvons le constater, le regroupement de tous ces ensembles de données peut dresser un tableau clair d’un utilisateur, de ses activités et, le cas échéant, de ses intentions malveillantes.
Comment est construite une base de référence ?
Une question qui doit être posée ici est de savoir comment construire la base de référence qui aidera à suivre un utilisateur. Eh bien, il y a quelques étapes à suivre :
- Définir des cas d'utilisation– il doit être clair dès le départ ce qui sera suivi. Il s’agirait par exemple de la détection d’utilisateurs malveillants, de comptes compromis, de menaces de sécurité connues ou d’une combinaison de tout cela.
- Définir des sources de données– c’est ici que sont déterminées les origines des données pour construire les profils comportementaux de chaque utilisateur. Des exemples de sources incluent les journaux, les e-mails, les plateformes de réseaux sociaux, les rapports d'examen des ressources humaines, les flux de paquets de données réseau et les SIEM.
- Définir les comportements à surveiller– une solution UEBA doit couvrir autant d'attributs que possible. C'est à ce stade que les détails sont décrits. Il peut s'agir des heures de bureau, des vitesses de frappe, des applications et données d'entreprise consultées, des sites Web visités, de la dynamique de la souris et des données non informatiques telles que les informations RH sur les niveaux de satisfaction professionnelle des employés.
- Définition du temps d'établissement de référence– bien que les employés agissent généralement de la même manière jour après jour, des facteurs externes tels que les jours de paie, les semaines de clôture du budget ou la saison de la grippe peuvent entraîner des changements d'habitudes au cours de la journée de travail. Ces facteurs doivent être pris en considération et évités lors de la planification du calendrier de référence. La collecte de données peut durer d'une semaine à 90 jours, pendant lesquels l'UEBA « apprend » à connaître les utilisateurs et établit une base de référence. Les administrateurs devraient également disposer de suffisamment de temps pour s’assurer que les lignes de base sont effectivement raisonnables.
- Définir les politiques et dispenser des formations– une fois la solution UEBA prête à fonctionner, des politiques de sécurité doivent être mises en œuvre et les utilisateurs doivent en être informés. Le cas échéant, une formation doit être dispensée pour garantir que chacun sache quoi et comment accéder aux informations dont il est uniquement autorisé à avoir accès. Enfin, tout le monde doit être impliqué : les RH, les services juridiques, les administrateurs, les équipes de sécurité et les utilisateurs eux-mêmes.
- Une période d'essai– tout système doit subir une période d'essai avant d'être mis en production. Il en va de même pour l'UEBA. Pendant la période d’essai, des bugs et des divergences peuvent être observés et corrigés.
- Mise en service et surveillance– une fois l’UEBA opérationnel, une surveillance étroite est nécessaire pour garantir que tous les systèmes fonctionnent comme prévu. Des ajustements et des corrections peuvent être nécessaires au cours des premiers mois. Dans l’ensemble, la référence doit être ajustée pour tenir compte de tout nouvel attribut introduit dans l’organisation, comme les nouveaux horaires, les mises à niveau du système de sécurité et les transferts d’employés.
Trois piliers de l'UEBA
Sur la base des informations que nous avons vues jusqu'à présent, nous pouvons maintenant définir les trois piliers de l'UEBA. Ces piliers stipulentque fait une UEBA,comment ça fait, etle résultat.
Par conséquent, selon Gartner, les solutions UEBA sont définies selon trois dimensions :
- Cas d'utilisation– Les solutions UEBA surveillent, détectent et signalent les activités malveillantes des utilisateurs et des entités sur un réseau d’entreprise. Ils doivent également rester pertinents dans l’analyse de la surveillance des hôtes de confiance, de la détection des fraudes et de la surveillance des employés, par exemple.
- Les sources de données– une solution UEBA ne doit pas être déployée directement sur le réseau ni même dans l’environnement informatique pour pouvoir collecter des données. Au lieu de cela, il doit extraire les données de référentiels de données tels que des lacs de données, des entrepôts de données ou via un SIEM.
- Analytique– Les solutions UEBA doivent détecter les anomalies à l'aide de diverses approches analytiques incluant l'apprentissage automatique, les règles, les modèles statistiques, les signatures de menaces, etc.
Quels sont les avantages de l'UEBA ?
Maintenant que nous avons défini et vu ce qu’une solution UEBA peut faire, examinons les avantages qu’elle apporte :
- Il s'agit avant tout d'un outil qui peut aider à stopper de nombreuses cyberattaques internes.comme les comptes compromis, les attaques par force brute, la création non autorisée de nouveaux comptes et les violations de données.
- Il couvre un champ d'application que la plupart des organisations ignorent généralement etne peut pas être suivi par des outils traditionnels comme les antivirus ou les solutions antimalware – la menace interne.
- Le déploiement de l'UEBA réduit le nombre d'analystes de sécuritéqui ont besoin d'assurer la sécurité d'un réseau d'entreprise ; ces solutions sont automatiques, fonctionnent 24 heures sur 24 et envoient des alertes en temps réel.
- Une solution UEBA peut réduire le budget et les frais générauxrequis pour le maintien de la cybersécurité d’une organisation.
- Les erreurs humaines, causées par le fait que les administrateurs doivent trier manuellement de grandes quantités de données d'activité, peuvent être évitées.; l'analyse et l'atténuation des menaces peuvent être effectuées en quelques minutes, en temps réel et avec précision.
- UEBA est une approche de sécurité unique dans la mesure où elle implique l'adoption de plusieurs systèmes et sources de donnéeset ne se conforme pas au suivi des règles de corrélation ou des modèles d'attaque prédéfinis ;l'IA apprend toujours.
Y a-t-il des inconvénients à utiliser l’UEBA ?
Il serait injuste de dire qu’il n’y a aucun inconvénient à mettre en œuvre l’UEBA. Et donc, les voici :
- L'UEBA génère des données plus complexesque la solution de sécurité traditionnelle moyenne. Donc,cela nécessite un professionnel qualifiépour mettre en œuvre, exécuter et surveiller le système. L’analyse nécessite également un œil averti pour éviter de tirer des conclusions hâtives en raison de résultats faussement positifs.
- Bien qu'il s'agisse d'un système de sécurité,il ne suffit pas de protéger un système à lui seul. Souviens-toi,il suit uniquement les comportements des humains et des entitésEt rien de plus. Certaines organisations pourraient y voir une lacune, surtout lorsqu’elles considèrent la nécessité de logiciels de sécurité supplémentaires – mais ce n’est pas le cas. Son objectif n’est tout simplement pas d’arrêter les attaques, mais simplement d’alerter les utilisateurs internes malveillants.
Meilleures pratiques de mise en œuvre de l’UEBA
Voici quelques points à considérer pour réussir la mise en œuvre de l’UEBA :
- Tenez toujours compte des menaces provenant à la fois de l’intérieur et de l’extérieur du réseau– toutes les politiques, règles et références doivent prendre en compte les utilisateurs situés n’importe où.
- Tous les comptes doivent être pris en compte– rappelez-vous que les pirates peuvent toujours améliorer leurs privilèges pour augmenter leurs capacités d'accès.
- L'UEBA doit être envoyé aux membres de l'équipe de sécurité appropriés.– pas de retour aux utilisateurs eux-mêmes ou à d'autres personnes non autorisées, par exemple.
- COMME NOUS L'AVONS VU CI-DESSUS, le champ d'action de l'UEBA est limité– les administrateurs ne doivent pas détourner leur attention des autres outils de sécurité traditionnels.
- Former tous les utilisateurspour minimiser les faux positifs ou les alertes de déclenchement involontaire.
- Aussi,former le personnel de sécuritélire correctement les analyses pour éviter de tirer des conclusions erronées.
L'UEBA est une nécessité
En conclusion, nous devons dire que l’adoption d’une solution UEBA est une nécessité dans le monde actuel de vol de propriété intellectuelle, de fuites technologiques, de piratages et de violations de données – tout cela se fait de l’intérieur. On a toujours dit que les utilisateurs étaient les maillon le plus faible en cybersécurité. En combinant ces informations avec des employés nourris d’intentions malveillantes, il est facile de comprendre pourquoi nous avons besoin de ce type de solutions.
Il est donc logique de protéger les données de l’entreprise à l’aide des solutions UEBA. Qu'est-ce quetoipense? Faites le nous savoir; laissez-nous un commentaire.