Comprendre l’UEBA et son rôle dans la réponse aux incidents



Les failles de sécurité se multiplient dans l’environnement numérique actuel. L’UEBA offre aux organisations un moyen efficace de détecter et de gérer ces incidents.

L’analyse du comportement des utilisateurs et des entités (UEBA), auparavant appelée analyse du comportement des utilisateurs (UBA), est une solution de cybersécurité. Elle utilise l’analyse pour comprendre les schémas de comportement habituels des utilisateurs (personnes) et des entités (appareils et serveurs en réseau) au sein d’une organisation. Cela permet de repérer et de traiter les activités anormales en temps réel.

L’UEBA est capable d’identifier et de signaler aux analystes de sécurité des variations risquées et des comportements suspects pouvant indiquer :

  • Des déplacements latéraux
  • Des abus de comptes privilégiés
  • Des escalades de privilèges
  • Des compromissions d’identifiants
  • Des menaces internes

L’UEBA évalue également le niveau de menace et attribue un score de risque, ce qui facilite une réponse appropriée.

Découvrez dans cet article le fonctionnement de l’UEBA, les raisons pour lesquelles les organisations s’en servent, ses composantes principales, son rôle dans la réponse aux incidents et les meilleures pratiques.

Fonctionnement de l’analyse du comportement des utilisateurs et des entités

L’analyse du comportement des utilisateurs et des entités commence par la collecte d’informations sur le comportement normal des individus et des machines de votre organisation. Ces données proviennent de divers référentiels, tels que des lacs de données, des entrepôts de données ou des systèmes SIEM.

L’UEBA utilise ensuite des méthodes analytiques avancées pour traiter ces données. Cela permet de définir une ligne de base précise des schémas de comportement, par exemple : les lieux de connexion des employés, leurs niveaux de privilèges, les fichiers et serveurs auxquels ils accèdent fréquemment, les heures et la fréquence d’accès, et les appareils utilisés.

L’UEBA surveille en permanence les activités des utilisateurs et des entités, les compare aux comportements de référence et détermine quelles actions pourraient être le signe d’une attaque.

L’UEBA est capable de distinguer les activités habituelles d’un utilisateur des actions qui signalent une attaque. Bien qu’un pirate puisse obtenir les informations d’identification d’un employé, il aura du mal à imiter ses activités et son comportement typiques.

Une solution UEBA est structurée autour de trois composantes principales :

Analyse des données : L’UEBA rassemble et organise les données des utilisateurs et des entités afin d’établir un profil standard du comportement normal de chaque utilisateur. Des modèles statistiques sont ensuite élaborés et appliqués pour détecter les activités anormales et alerter l’équipe de sécurité.

Intégration des données : Pour améliorer la fiabilité du système, l’UEBA compare les données provenant de sources variées (journaux système, données de capture de paquets, etc.) avec les informations recueillies par les systèmes de sécurité existants.

Présentation des données : Cette phase correspond à la manière dont le système UEBA communique ses conclusions et la réponse appropriée. Il s’agit généralement d’une demande d’enquête adressée aux analystes de sécurité suite à la détection d’un comportement inhabituel.

Le rôle de l’UEBA dans la réponse aux incidents

L’analyse du comportement des utilisateurs et des entités s’appuie sur l’apprentissage automatique et l’apprentissage profond pour surveiller et analyser les comportements habituels des personnes et des machines au sein de votre organisation.

En cas d’écart par rapport aux schémas habituels, le système UEBA le détecte et procède à une analyse afin de déterminer si le comportement inhabituel représente une menace réelle.

L’UEBA ingère des données provenant de diverses sources de journaux, telles que les bases de données, Windows AD, les VPN, les proxys, les systèmes de badge, les fichiers et les points de terminaison, pour effectuer cette analyse. Grâce à ces informations et aux comportements appris, l’UEBA peut consolider les données pour attribuer un score de risque et envoyer un rapport détaillé aux analystes de sécurité.

Par exemple, l’UEBA peut noter qu’un employé se connecte pour la première fois depuis l’Afrique via un VPN. Ce comportement inhabituel ne signifie pas forcément qu’il y a une menace. L’employé peut simplement être en déplacement. Cependant, si le même employé des ressources humaines accède soudainement au sous-réseau financier, l’UEBA identifiera cette activité comme suspecte et alertera l’équipe de sécurité.

Voici un autre exemple concret.

Harry, employé de l’hôpital Mount Sinai à New York, a un besoin urgent d’argent. Un soir, après le départ de tout le monde, il télécharge des informations sensibles sur les patients sur une clé USB à 19 heures, dans l’intention de vendre ces données au marché noir à prix fort.

Heureusement, l’hôpital Mount Sinai utilise une solution UEBA qui surveille le comportement de chaque utilisateur et entité du réseau.

Bien qu’Harry soit autorisé à accéder aux informations sur les patients, le système UEBA augmente son score de risque en détectant un écart par rapport à ses activités habituelles, qui consistent généralement à consulter, créer et modifier les dossiers des patients entre 9 h et 17 h.

Lorsque Harry tente d’accéder aux informations à 19 heures, le système identifie les anomalies de schémas et de timing et attribue un score de risque.

Vous pouvez configurer votre système UEBA pour qu’il se contente de générer une alerte afin que l’équipe de sécurité puisse effectuer une enquête plus approfondie, ou pour qu’il prenne des mesures immédiates, comme la coupure automatique de la connectivité réseau de cet employé en raison d’une cyberattaque potentielle.

Ai-je besoin d’une solution UEBA ?

Une solution UEBA est indispensable pour les organisations, car les pirates emploient des attaques de plus en plus sophistiquées et difficiles à repérer, en particulier lorsque la menace provient de l’intérieur.

Selon des statistiques récentes sur la cybersécurité, plus de 34 % des entreprises sont touchées par des menaces internes à l’échelle mondiale. De plus, 85 % des entreprises reconnaissent avoir des difficultés à évaluer le coût réel d’une attaque interne.

Par conséquent, les équipes de sécurité se tournent vers de nouvelles approches de détection et de réponse aux incidents (IR). Pour améliorer et renforcer leurs systèmes de sécurité, les analystes de sécurité combinent des technologies telles que l’analyse du comportement des utilisateurs et des entités (UEBA) avec des SIEM classiques et d’autres systèmes de prévention.

L’UEBA vous offre un système de détection des menaces internes plus puissant que les autres solutions de sécurité traditionnelles. Il surveille non seulement les comportements humains anormaux, mais aussi les déplacements latéraux suspects. L’UEBA suit également les activités sur vos services cloud, vos appareils mobiles et vos objets connectés.

Un système UEBA sophistiqué analyse les données provenant de toutes les sources de journaux et crée un rapport détaillé de l’attaque pour vos analystes de sécurité. Cela permet à votre équipe de gagner du temps en évitant de parcourir d’innombrables journaux pour évaluer l’ampleur réelle des dommages causés par une attaque.

Voici quelques exemples d’utilisation de l’UEBA.

Six principaux cas d’utilisation de l’UEBA

#1. L’UEBA détecte les abus de privilèges lorsque les utilisateurs effectuent des actions à risque qui sortent de leur comportement normal établi.

#2. L’UEBA consolide les informations suspectes provenant de différentes sources afin d’attribuer un score de risque.

#3. L’UEBA priorise les incidents en réduisant les faux positifs. Elle limite la fatigue liée aux alertes et permet aux équipes de sécurité de se concentrer sur les alertes à haut risque.

#4. L’UEBA prévient la perte et l’exfiltration de données en envoyant des alertes lorsqu’elle détecte des transferts de données sensibles au sein ou hors du réseau.

#5. L’UEBA aide à identifier les déplacements latéraux des pirates au sein du réseau qui ont pu usurper les identifiants d’employés.

#6. L’UEBA offre également des réponses automatisées aux incidents, ce qui permet aux équipes de sécurité de réagir rapidement aux incidents de sécurité.

Comment l’UEBA améliore l’UBA et les systèmes de sécurité existants tels que SIEM

L’UEBA ne remplace pas les autres systèmes de sécurité, mais constitue une amélioration significative lorsqu’elle est utilisée en complément d’autres solutions. L’UEBA se distingue de l’analyse du comportement des utilisateurs (UBA) par l’inclusion d’entités telles que les serveurs, les routeurs et les points de terminaison, ainsi que les événements.

Une solution UEBA est plus complète que l’UBA, car elle surveille également les processus non humains et les entités machine pour identifier les menaces avec plus de précision.

SIEM signifie gestion des informations et des événements de sécurité. Un SIEM traditionnel peut avoir des difficultés à détecter les menaces sophistiquées, car il n’est pas conçu pour la surveillance en temps réel. Les pirates évitent souvent les attaques ponctuelles et préfèrent mener des séries d’attaques élaborées, qui peuvent passer inaperçues pendant des semaines ou des mois pour les outils de détection de menaces classiques comme SIEM.

Une solution UEBA sophistiquée pallie cette limite. Les systèmes UEBA analysent les données stockées par SIEM et travaillent de concert pour surveiller les menaces en temps réel, ce qui permet de réagir rapidement et efficacement aux violations.

En combinant les outils UEBA et SIEM, les organisations peuvent améliorer leur efficacité en matière de détection et d’analyse des menaces, traiter rapidement les vulnérabilités et anticiper les attaques.

Meilleures pratiques d’analyse du comportement des utilisateurs et des entités

Voici cinq bonnes pratiques pour l’analyse du comportement des utilisateurs, qui donnent une idée des actions à mener lors de l’établissement d’une base de référence du comportement des utilisateurs.

#1. Définir les cas d’utilisation

Identifiez clairement les cas d’utilisation que vous souhaitez que votre solution UEBA détecte. Cela peut être la détection d’abus de compte privilégié, de compromission d’identifiants ou de menaces internes. La définition des cas d’utilisation vous permet de déterminer les données à collecter pour la surveillance.

#2. Définir les sources de données

Plus votre système UEBA peut traiter de types de données, plus la base de référence sera précise. Certaines sources de données peuvent inclure les journaux système ou les données RH, comme l’historique des performances des employés.

#3. Définir les comportements à surveiller

Cela peut inclure les heures de travail des employés, les applications et les appareils auxquels ils accèdent fréquemment, ainsi que leurs rythmes de frappe. Ces données permettent de mieux comprendre les causes possibles des faux positifs.

#4. Définir une durée pour établir la base de référence

Lors du choix de la durée de votre période de référence, il est essentiel de prendre en compte les objectifs de sécurité de votre entreprise et les activités des utilisateurs.

La période de référence ne doit être ni trop courte ni trop longue. En effet, si vous terminez trop rapidement la phase de référence, vous risquez de ne pas collecter les informations correctes, ce qui pourrait entraîner un nombre élevé de faux positifs. Inversement, si vous prenez trop de temps pour recueillir les informations de référence, des activités malveillantes pourraient passer pour habituelles.

#5. Mettre à jour régulièrement vos données de référence

Vous devrez peut-être reconstruire régulièrement vos données de référence car les activités des utilisateurs et des entités évoluent constamment. Un employé peut être promu et changer de tâches et de projets, son niveau de privilège ou ses activités. Les systèmes UEBA peuvent être configurés pour collecter automatiquement des données et ajuster les données de base lorsque des changements se produisent.

Derniers mots

Notre dépendance à la technologie augmente, tout comme la complexité des menaces de cybersécurité. Une entreprise doit protéger ses systèmes, qui contiennent des informations sensibles, pour éviter des failles de sécurité importantes. L’UEBA fournit un système de réponse aux incidents en temps réel capable de prévenir les attaques.