Les failles de sécurité sont devenues de plus en plus courantes dans le monde numérique. L’UEBA aide les organisations à détecter ces incidents et à y répondre.
L’analyse du comportement des utilisateurs et des entités (UEBA) était auparavant connue sous le nom d’analyse du comportement des utilisateurs (UBA). Il s’agit d’une solution de cybersécurité qui utilise l’analyse pour comprendre comment les utilisateurs (humains) et les entités (appareils et serveurs en réseau) d’une organisation se comportent généralement pour détecter et répondre à une activité anormale en temps réel.
L’UEBA peut identifier et alerter les analystes de sécurité sur les variations à risque et les comportements suspects qui pourraient indiquer :
- Mouvement latéral
- Abus de compte privilégié
- Escalade des privilèges
- Compromis d’identification ou
- Menaces internes
L’UEBA évalue également le niveau de menace et fournit un score de risque qui peut aider à établir une réponse appropriée.
Lisez la suite pour en savoir plus sur le fonctionnement de l’UEBA, pourquoi les organisations se tournent vers l’UEBA, les principaux composants de l’UEBA, le rôle de l’UEBA dans la réponse aux incidents et les meilleures pratiques de l’UEBA.
Table des matières
Comment fonctionne l’analyse du comportement des utilisateurs et des entités ?
L’analyse du comportement des utilisateurs et des entités collecte d’abord des informations sur le comportement attendu des personnes et des machines de votre organisation à partir de référentiels de données tels qu’un lac de données, un entrepôt de données ou via SIEM.
L’UEBA utilise ensuite des approches analytiques avancées pour traiter ces informations afin de déterminer et de définir plus précisément une ligne de base de modèles de comportement : d’où un employé se connecte, son niveau de privilège, les fichiers, les serveurs auxquels il accède souvent, l’heure et la fréquence d’accès, et les appareils qu’il utilise pour accéder.
UEBA surveille ensuite en permanence les activités des utilisateurs et des entités, les compare au comportement de base et décide quelles actions pourraient entraîner une attaque.
UEBA peut savoir quand un utilisateur vaque à ses activités normales et quand une attaque se produit. Bien qu’un pirate informatique puisse accéder aux informations de connexion d’un employé, il ne pourra pas imiter ses activités et son comportement habituels.
Une solution UEBA comporte trois composants principaux :
Analyse des données: L’UEBA collecte et organise les données des utilisateurs et des entités pour créer un profil standard de la façon dont chaque utilisateur agit généralement. Des modèles statistiques sont ensuite formulés et appliqués pour détecter les activités anormales et alerter l’équipe de sécurité.
Intégration des données : pour rendre le système plus résilient, l’UEBA compare les données obtenues à partir de diverses sources, telles que les journaux système, les données de capture de paquets et d’autres ensembles de données, avec les données collectées à partir des systèmes de sécurité existants.
Présentation des données: Processus par lequel le système UEBA communique ses conclusions et la réponse appropriée. Ce processus implique généralement l’émission d’une demande pour que les analystes de la sécurité enquêtent sur un comportement inhabituel.
Le rôle de l’UEBA dans la réponse aux incidents
L’analyse du comportement des utilisateurs et des entités utilise l’apprentissage automatique et l’apprentissage en profondeur pour surveiller et analyser le comportement habituel des humains et des machines dans votre organisation.
S’il y a un écart par rapport au schéma régulier, le système UEBA le détecte et effectue une analyse qui détermine si le comportement inhabituel constitue une menace réelle ou non.
UEBA ingère des données provenant de différentes sources de journaux telles qu’une base de données, Windows AD, un VPN, un proxy, un badge, des fichiers et des points de terminaison pour effectuer cette analyse. En utilisant ces entrées et le comportement appris, l’UEBA peut fusionner les informations pour établir un score final pour le classement des risques et envoyer un rapport détaillé aux analystes de sécurité.
Par exemple, l’UEBA peut regarder un employé venant d’Afrique via VPN pour la première fois. Ce n’est pas parce que le comportement de l’employé est anormal qu’il s’agit d’une menace. l’utilisateur peut simplement être en déplacement. Cependant, si le même employé du service des ressources humaines accède soudainement au sous-réseau financier, l’UEBA reconnaîtra les activités de l’employé comme suspectes et alertera l’équipe de sécurité.
Voici un autre scénario relatable.
Harry, un employé de l’hôpital Mount Sinai à New York, a désespérément besoin d’argent. Ce jour-là, Harry attend que tout le monde quitte le bureau puis télécharge les informations sensibles des patients sur un périphérique USB à 19 heures. Il a l’intention de vendre les données volées sur le marché noir pour un dollar élevé.
Heureusement, l’hôpital Mount Sinai utilise une solution UEBA, qui surveille le comportement de chaque utilisateur et entité au sein du réseau hospitalier.
Bien que Harry ait la permission d’accéder aux informations sur les patients, le système UEBA augmente son score de risque lorsqu’il détecte un écart par rapport à ses activités habituelles, qui impliquent généralement la visualisation, la création et la modification des dossiers des patients entre 9 h et 17 h.
Lorsque Harry essaie d’accéder aux informations à 19 heures, le système identifie les irrégularités de schéma et de synchronisation et attribue un score de risque.
Vous pouvez configurer votre système UEBA pour créer simplement une alerte pour que l’équipe de sécurité suggère une enquête plus approfondie, ou vous pouvez le configurer pour prendre des mesures immédiates comme la fermeture automatique de la connectivité réseau pour cet employé en raison de la cyberattaque suspectée.
Ai-je besoin d’une solution UEBA ?
Une solution UEBA est essentielle pour les organisations car les hackers mènent des attaques de plus en plus sophistiquées qui deviennent de plus en plus difficiles à détecter. Cela est particulièrement vrai dans les cas où la menace vient de l’intérieur.
Selon de récentes statistiques sur la cybersécurité, plus de 34% des entreprises sont touchées par des menaces internes dans le monde. De plus, 85 % des entreprises déclarent qu’il est difficile de quantifier le coût réel d’une attaque interne.
En conséquence, les équipes de sécurité se tournent vers de nouvelles approches de détection et de réponse aux incidents (IR). Pour équilibrer et renforcer leurs systèmes de sécurité, les analystes de la sécurité fusionnent des technologies telles que l’analyse du comportement des utilisateurs et des entités (UEBA) avec des SIEM conventionnels et d’autres systèmes de prévention hérités.
UEBA vous fournit un système de détection des menaces internes plus puissant que les autres solutions de sécurité traditionnelles. Il surveille non seulement les comportements humains anormaux, mais également les mouvements latéraux suspects. UEBA suit également les activités sur vos services cloud, vos appareils mobiles et vos appareils Internet des objets.
Un système UEBA sophistiqué ingère les données de toutes les différentes sources de journal et crée un rapport détaillé de l’attaque pour vos analystes de sécurité. Cela permet à votre équipe de sécurité d’économiser le temps passé à parcourir d’innombrables journaux pour déterminer les dommages réels dus à une attaque.
Voici quelques-uns des nombreux cas d’utilisation de l’UEBA.
Top 6 des cas d’utilisation de l’UEBA
#1. UEBA détecte les abus de privilèges d’initiés lorsque les utilisateurs effectuent des activités à risque en dehors du comportement normal établi.
#2. L’UEBA fusionne les informations suspectes provenant de différentes sources pour créer un score de risque pour le classement des risques.
#3. L’UEBA hiérarchise les incidents en réduisant les faux positifs. Il élimine la fatigue liée aux alertes et permet aux équipes de sécurité de se concentrer sur les alertes à haut risque.
#4. UEBA empêche la perte et l’exfiltration de données car le système envoie des alertes lorsqu’il détecte que des données sensibles sont déplacées au sein du réseau ou transférées hors du réseau.
#5. UEBA aide à détecter les mouvements latéraux des pirates au sein du réseau qui peuvent avoir volé les identifiants de connexion des employés.
#6. UEBA fournit également des réponses automatisées aux incidents, permettant aux équipes de sécurité de répondre aux incidents de sécurité en temps réel.
Comment UEBA améliore UBA et les systèmes de sécurité hérités comme SIEM
UEBA ne remplace pas les autres systèmes de sécurité mais représente une amélioration significative utilisée aux côtés d’autres solutions pour une cybersécurité plus efficace. L’UEBA diffère de l’analyse du comportement des utilisateurs (UBA) en ce sens qu’UEBA inclut des « Entités » et des « Événements » tels que des serveurs, des routeurs et des points de terminaison.
Une solution UEBA est plus complète qu’UBA car elle surveille les processus non humains et les entités machine pour identifier plus précisément les menaces.
SIEM est synonyme de gestion des informations et des événements de sécurité. Le SIEM hérité traditionnel peut ne pas être en mesure de détecter par lui-même les menaces sophistiquées, car il n’est pas conçu pour surveiller les menaces en temps réel. Et étant donné que les pirates évitent souvent les attaques ponctuelles simples et s’engagent plutôt dans une chaîne d’attaques sophistiquées, ils peuvent passer inaperçus par les outils traditionnels de détection des menaces comme SIEM pendant des semaines, voire des mois.
Une solution UEBA sophistiquée répond à cette limitation. Les systèmes UEBA analysent les données stockées par SIEM et travaillent ensemble pour surveiller les menaces en temps réel, vous permettant de répondre aux violations rapidement et sans effort.
Par conséquent, en fusionnant les outils UEBA et SIEM, les organisations peuvent être beaucoup plus efficaces dans la détection et l’analyse des menaces, traiter rapidement les vulnérabilités et éviter les attaques.
Meilleures pratiques d’analyse du comportement des utilisateurs et des entités
Voici cinq meilleures pratiques pour l’analyse du comportement des utilisateurs qui donnent un aperçu des choses à faire lors de la création d’une base de référence pour le comportement des utilisateurs.
#1. Définir des cas d’utilisation
Définissez les cas d’utilisation que vous souhaitez que votre solution UEBA identifie. Il peut s’agir de la détection d’abus de compte privilégié, de compromission d’informations d’identification ou de menaces internes. La définition de cas d’utilisation vous aide à déterminer les données à collecter pour la surveillance.
#2. Définir les sources de données
Plus vos systèmes UEBA peuvent gérer de types de données, plus la référence sera précise. Certaines sources de données incluent des journaux système ou des données de ressources humaines telles que l’historique des performances des employés.
#3. Définir les comportements sur lesquels les données seront collectées
Cela peut inclure les heures de travail des employés, les applications et les appareils auxquels ils accèdent fréquemment et les rythmes de frappe. Avec ces données en place, vous pouvez mieux comprendre les raisons possibles des faux positifs.
#4. Définir une durée pour établir la ligne de base
Lors de la détermination de la durée de votre période de référence, il est essentiel de prendre en compte les objectifs de sécurité de votre entreprise et les activités des utilisateurs.
La période de base ne doit être ni trop courte ni trop longue. En effet, vous ne pourrez peut-être pas collecter les informations correctes si vous terminez la durée de référence trop rapidement, ce qui entraîne un taux élevé de faux positifs. D’un autre côté, certaines activités malveillantes peuvent être transmises comme d’habitude si vous prenez trop de temps pour collecter les informations de référence.
#5. Mettez régulièrement à jour vos données de référence
Vous devrez peut-être reconstruire régulièrement vos données de référence car les activités des utilisateurs et des entités changent tout le temps. Un employé peut être promu et changer ses tâches et ses projets, son niveau de privilège et ses activités. Les systèmes UEBA peuvent être automatiquement configurés pour collecter des données et ajuster les données de base lorsque des changements se produisent.
Derniers mots
À mesure que nous devenons de plus en plus dépendants de la technologie, les menaces de cybersécurité deviennent de plus en plus complexes. Une grande entreprise doit sécuriser ses systèmes qui contiennent ses propres données sensibles et celles de ses clients pour éviter les failles de sécurité à grande échelle. L’UEBA propose un système de réponse aux incidents en temps réel qui peut prévenir les attaques.