Les solutions d’analyse comportementale des utilisateurs et des entités (UEBA pour User and Entity Behavior Analytics) existent depuis un certain temps déjà et pourtant, vous vous questionnez peut-être quant à leur utilisation et leur nécessité. Les outils UEBA analysent le comportement des hôtes, des périphériques, des fichiers et des transactions pour identifier les comportements et les modèles dignes d’intérêt ou malveillants. En quelques phrases, nous allons essayer de définir ce qu’apportent les moteurs UEBA et comprendre pourquoi les meilleurs SIEM ont aujourd’hui intégré ce module. Les SIEM de nouvelle génération utilisent ce type analytique pour repérer les signaux faibles, déceler les comportements anormaux, limiter automatiquement la remontée des incidents de sécurité non significatifs et contrer les attaques en quasi temps réel.

Les systèmes de sécurité fournissent une telle quantité d’informations qu’il est parfois difficile de détecter rapidement celles qui indiquent qu’une attaque est en cours. Extrêmement utiles dans le contexte de la sécurité, les outils UEBA se concentrent sur le comportement des systèmes et des personnes qui les utilisent. Concrètement l’analyse comportementale des utilisateurs et des entités accélère la détection et l’analyse, permettant d’apporter une réponse quasi immédiate aux menaces sans augmenter la charge de travail de l’équipe de sécurité. Il est alors possible de concentrer les ressources de sécurité là où elles sont le plus efficaces. Des informations condensées, hiérarchisées et contextualisées sont fournies aux analystes de sécurité qui disposent alors d’éléments pour mieux répondre aux menaces.

L’association SIEM + UEBA utilise une approche reposant sur l’apprentissage automatique (machine learning) pour déceler les inconnues connues et réagir aux menaces qui ne sont pas détectables par d’autres moyens. Outre des temps de détection des menaces plus courts, les alertes générées par les incidents sont plus efficaces et plus précises. De plus, les preuves sont plus exploitables en cas d’enquête. L’interface utilisateur UEBA de LogPoint par exemple, utilise le machine learning pour établir les bases de référence de chaque entité du réseau, sans créer de règles ou de signatures prédéfinies. Grâce à l’évaluation par rapport à ces bases, l’UEBA détecte les inconnues et élimine le besoin de règles d’experts de niveau 1 ou de système reposant sur des règles dans le SIEM d’une entreprise. Ceci entraîne une réduction significative des coûts de mise en œuvre et permet de libérer les analystes de sécurité qui peuvent alors se consacrer à la recherche de menaces effectives. L’utilisation de l’analytique au lieu de la correspondance avec des signatures ou des règles donne en outre une image plus précise de ce qui est normal et de ce qui ne l’est pas. Un des avantages flagrants de l’application de l’UEBA au sein de nos Systèmes d’Information est sa capacité à suivre l’évolution des comportements des utilisateurs et à adapter les schémas d’apprentissage créés, ce qui évite de faire évoluer manuellement des signatures figées par des analystes.  Ces derniers peuvent alors se préoccuper seulement des alertes générées par l’UEBA pour adapter le niveau de risque nécessaire à chaque entité, cette étape dépendant encore d’une interprétation humaine.

Les algorithmes de l’UEBA construisent des références, non pas pour le réseau considéré comme un ensemble, mais pour chaque entité particulière (utilisateur / document / page web / etc.) observée. Les modèles de comportements observés sont représentés comme des groupes d’activité dans des systèmes de coordonnées. Lorsqu’une nouvelle observation survient, on évalue l’écart de cette activité particulière à partir de groupes de comportements acceptés et « appris ». Les algorithmes du machine learning détectent les abus d’identification, les mouvements latéraux dans le réseau, les tentatives d’exfiltration des données…

L’analyse comportementale est une méthode très efficace pour surveiller les activités en permettant de réagir rapidement lorsque celles-ci sont anormales. L’UEBA s’adapte automatiquement à une infrastructure donnée, sans qu’une configuration de règles ou de limites soit nécessaire pour fonctionner. Par exemple, des cas d’usurpation d’identité, d’exfiltration des données et de mouvements latéraux figurent en standard dans le module UEBA de LogPoint. Immédiatement utilisables, ces cas d’utilisation évaluent en permanence les risques liés aux utilisateurs et aux entités. En d’autres termes, l’analyste dispose d’une liste exploitable d’utilisateurs et d’entités « anormaux » dans le réseau. Les scores des risques peuvent ensuite être utilisés comme des métadonnées enrichies associées à des logs existants pour des cas d’utilisation supplémentaires (applications personnalisées, SharePoint, SAP, etc.).

Parce que l’enjeu majeur pour l’entreprise qui doit maintenir la confiance de ses utilisateurs et de ses clients passe par sa protection, l’intégration du module UEBA utilisant le Machine Learning apporte au SIEM un potentiel plus important de détection des fraudes et des activités malveillantes et criminelles des réseaux.

 

_____________
Frédéric Saulet est Directeur Régional EMEA pour l’Europe du Sud de LogPoint