Qu’est-ce que l’analyse des comportements des utilisateurs (UBA) ou l’analyse du comportement des entités et utilisateurs (UEBA) ?

Qu'est-ce que l'analyse du comportement des entités et utilisateurs (UEBA) ?

L’analyse des comportements des entités et utilisateurs est une autre appellation de l’analyse des comportements des utilisateurs. La définition de l’UBA a évolué en même temps que le paysage des menaces. L'ajout des « entités » permet de couvrir à la fois les comportements malveillants des humains et des appareils, applications et réseaux, et de corréler l’activité des utilisateurs de sources multiples. Selon Gartner, qui a inventé le terme UEBA, le E de l’acronyme « reconnaît que d'autres entités, en-dehors des utilisateurs, sont souvent profilées pour localiser plus précisément les menaces, en partie en corrélant le comportement de ces autres entités avec celui des utilisateurs. »

En d'autres termes, le comportement des entités – en particulier des utilisateurs, dispositifs, comptes système et comptes privilégiés – peut être exploré pour révéler des anomalies, même lorsqu’elles se produisent rarement et sur des périodes étendues. Peu d'outils de sécurité ont la capacité de détecter une menace si elle ne correspond pas à un profil spécifique, mais l’UEBA est capable de relier différentes variables pour mieux circonscrire les menaces potentielles. En utilisant l’UEBA, vous protégez votre entreprise contre les menaces qui peuvent infiltrer le périmètre ou qui s’y trouvent déjà.

Quelle est la différence entre l’UBA et l’UEBA ?

L'analyse des comportements des utilisateurs et l’analyse des comportements des entités et utilisateurs sont quasiment synonymes. La plupart des solutions UBA couvrent également l’aspect « entité » qui a conduit Gartner à créer le terme « UEBA ». Toutefois, « UEBA » est sans doute plus courant parce qu’il fait la distinction essentielle entre utilisateurs et entités. (« UBA » est également le nom de l’outil Splunk d’UEBA qui aide les entreprises à lutter contre les menaces internes grâce à des références comportementales multidimensionnelles, l’analyse de groupe de pairs dynamiques et du machine learning non supervisé.)

Comment fonctionne l’UBA/UEBA ?

L’UBA/UEBA examine les écarts dans le comportement d’un utilisateur ou d'un actif par rapport aux actions passées ou à des groupes de pairs. Une solution UBA crée une référence pour chaque utilisateur, appareil, application, compte privilégié et compte de service partagé, puis détecte les déviations standard par rapport à la norme. Elle attribue ensuite un score pour indiquer l’intensité de la menace en question, permettant à l’entreprise non seulement d’examiner les alertes quotidiennement, mais aussi de surveiller les principaux utilisateurs malveillants et de prendre des mesures préventives.

Comment résout-on les menaces avec l’UBA/UEBA ?

Plutôt que de déverser un déluge d'alertes déclenchées par des infractions à des règles statiques, l’UBA délivre une liste sélectionnée de menaces à résoudre, ainsi que des preuves expliquant pourquoi elles méritent une attention particulière.

Les analystes de sécurité ont ensuite différentes options pour prendre en charge les menaces découvertes par l’UBA. En plus de représenter les menaces au moyen de l’interface utilisateur, il est possible d’envoyer les informations par email au personnel de réponse (service d’assistance IT/de sécurité), de les publier sur un tableau de bord de sécurité, ou de les transférer vers un système externe de gestion des tickets ou de sécurité. Selon le point de votre système où s’intègre votre solution UBA, vous pouvez également faire en sorte qu’une réponse automatique se déclenche lorsqu'un incident ou un événement est détecté.

Qu’est-ce que l’analyse des comportements (BA) ?

L'analyse des comportements est un domaine de l’analyse qui fournit des renseignements sur les actions des personnes. Toute personne ou machine qui interagit avec une entreprise, un système, une plateforme ou un produit peut faire l’objet d’une analyse de comportement.

Les outils d'analyse de comportement assimilent un grand volume de données d'événement brutes issues des interactions des utilisateurs sur différents canaux, examinant aussi bien le parcours d’un utilisateur que les engagements sur les réseaux sociaux, les visites uniques ou le temps passé sur une page. Ce type de données peut inclure des indicateurs liés à de la publicité ou du marketing (taux de conversion, coût par clic) ainsi que des valeurs de pipeline et des valeurs monétaires. L'analyse des comportements peut également inclure des informations sur la démographie et la géographie.

Les applications de l’analyse des comportements sont nombreuses :

• E-commerce et commerce de détail : émet des recommandations sur la base des tendances de vente.
• Jeux en ligne : examine le taux d’utilisation et les préférences des utilisateurs concernant les versions publiées et à venir.
• Développement d'applications : détermine comment les utilisateurs interagissent avec une application pour prédire les usages et préférences futurs.
• Sécurité : détecte les identifiants compromis et les menaces internes en localisant les comportements anormaux.

Quel est le rôle du machine learning dans l’UBA ?

Le machine learning joue un rôle crucial dans l’UBA et il est absolument essentiel pour alimenter une plateforme de données évolutive capable de produire des analyses avancées. Les capacités de détection des menaces d’une solution UBA peuvent corréler les anomalies présentes dans de multiples sources de données au sein d'un environnement qui génère des données machine.

Les outils d’analyse basés sur des méthodologies de machine learning ne nécessitent aucune signature ni analyse humaine, ce qui permet de réaliser un profilage comportemental multi-entité et des analyses de groupes de pairs. Ils offrent ainsi une fonction de surveillance et de réponse beaucoup plus nuancée.

Il en résulte une détection des menaces et des anomalies automatisée et précise. En reliant les indicateurs de menaces détectés par une variété d'algorithmes, le machine learning aide le logiciel ou la solution à identifier les menaces les plus probables.

Avec le machine learning, les analystes et les équipes des centres des opérations de sécurité (SOC) peuvent effectuer des investigations rapides, obtenir des renseignements utiles, déterminer la cause profonde des incidents, s'appuyer sur les tendances historiques et partager leurs conclusions sans être encombrés de milliers d'alarmes et fausses alertes. Pour résumer, les entreprises peuvent ainsi améliorer la vitesse de détection, analyser l’impact des menaces et réagir rapidement à n’importe quel incident de sécurité.

Comment utiliser l’UBA avec un SIEM ?

L’UBA est un composant vital de n’importe quel système SIEM (gestion des événements et incidents de sécurité). Les outils d’UBA fonctionnent en conjonction avec les solutions SIEM pour produire des renseignements sur les habitudes comportementales sur le réseau. En combinant les deux solutions, vous profitez des avantages des techniques de détection des menaces examinant aussi bien le comportement des humains que celui des machines.

En élargissant votre SIEM pour assimiler les anomalies comportementales détectées par l’UBA, vous obtenez également un contexte supplémentaire pour mieux comprendre les menaces connues et inconnues, et les identifier plus précisément. Les analystes gagnent un temps précieux et votre SOC devient plus efficace grâce à l'élimination des faux positifs ; seules sont signalées les menaces haute-fidélité qui ne sont généralement pas détectées par une corrélation basée sur des règles.

Quel est le rôle de l’UBA dans un centre des opérations de sécurité (SOC) ?

L’UBA joue un rôle essentiel dans le centre des opérations de sécurité, car il identifie les modifications inhabituelles du comportement des utilisateurs finaux. L’UBA peut filtrer les alertes avant qu’elles n'atteignent l'équipe du SOC, ce qui lui donne le temps de se concentrer sur les menaces urgentes et complexes.

Avec fluidité et rapidité, l’UBA permet aux analystes du SOC :

1. D’identifier les menaces internes grâce à la modélisation des comportements et l’analyse des groupe de pairs.
2. De se concentrer sur la détection des menaces internes grâce à l’évaluation des anomalies.
3. D’automatiser la réponse aux incidents et superviser les menaces en continu.

Les architectures de sécurité informatique adaptatives qui incorporent ce type d'analyses avancées sont mieux armés pour prévenir, détecter et prendre en charge les cyberattaques dans le paysage de sécurité actuel.

Comment choisir le meilleur outil d’UBA ?

Pour choisir un outil d’UBA, pesez soigneusement quatre caractéristiques clés : étude des menaces, apprentissage des retours utilisateurs, workflow rationalisé et détection de la kill-chain.

1. Étude et exploration des menaces : cet aspect permet à l’utilisateur de visualiser un large éventail de comportements suspects et d’obtenir un contexte à partir de multiples sources (utilisateurs, comptes, appareils et applications).
2. Apprentissage des retours utilisateurs : grâce à l'apprentissage des retours utilisateurs, les équipes de sécurité peuvent personnaliser des modèles d'anomalie basés sur les processus de l’entreprise, ses politiques, ses actifs, ses rôles utilisateurs et ses fonctions. L’évaluation des scores d'anomalies crée une méthodologie à partir d’un ensemble d'événements pour plus de précision et pour indiquer l’intensité d’une menace.
3. Workflow de gestion des menaces rationalisé : des milliards d'événements bruts sont réduits en milliers d'anomalies, puis en dizaines de menaces pour un contrôle et une résolution rapides. Les algorithmes de machine learning, les statistiques et la corrélation des anomalies améliorent votre capacité à identifier les menaces internes sans analyse humaine.
4. Détection des logiciels malveillants et des menaces internes, découverte des vecteurs d'attaque : vous pouvez détecter les mouvements des logiciels malveillants dans les applications et les appareils ainsi que la prolifération des menaces internes en temps réel. Vous pouvez également détecter les irrégularités basées sur le comportement (ex. accès inhabituel à une machine, activité réseau anormale), localiser les activités botnet ou CnC (commande et contrôle) avec précision (ex. balise de logiciel malveillant, etc.) et bien plus.

En définitive, le choix du meilleur outil d’UBA pour votre entreprise dépend de vos priorités et préoccupations. Consultez le rapport « Études de solutions d'analyse des comportements des entités et des utilisateurs » de Gartner pour en savoir plus sur les acteurs majeurs de l’industrie dans ce domaine et comprendre en quoi ils peuvent vous aider à franchir une nouvelle étape dans votre parcours de sécurité.

Comment prendre un bon départ avec l’UBA ?

Généralement, la mise en place de l’UBA se fait avec quatre étapes de base : assimilation des données, configuration des workflows, ciblage des scénarios d’utilisation et personnalisation des modèles.

L’incorporation des données dans la solution UBA est la première étape pour comprendre vos utilisateurs. Votre outil doit fournir différentes options pour identifier, valider puis incorporer les données de multiples sources dans votre infrastructure, de la lecture des formats simples connus de fichiers de log, à l’invocation de programmes destinés à traiter des formats de données personnalisés.

Une fois que vous avez correctement préparé votre environnement et intégré les données d'événements pertinentes, l'étape suivante consiste à configurer les workflows. Les workflows intégrés permettent aux équipes de sécurité de répondre rapidement aux incidents en ouvrant des tickets ou en mettant les utilisateurs à haut risque sous surveillance. En élaborant une boucle standardisée d’investigation et de rétroaction, vos équipes de sécurité n'auront pas à tâtonner quand les problèmes se manifesteront.

Vous devrez ensuite déterminer les scénarios d’utilisation que vous souhaitez traiter avec votre outil d’UBA. De l’exfiltration des données à l’exploitation de comptes utilisateurs, les applications sont nombreuses. Vous devrez également impliquer les architectes et les ingénieurs de sécurité de votre entreprise pour qu’ils puissent apporter leur point de vue. N’oubliez pas : si la plupart des solutions d’UBA prévoient des scénarios d’utilisation applicables à pratiquement tous les clients sous la forme de jeux de règles, ils ne se superposent pas forcément aux priorités de votre entreprise. Les besoins et les objectifs du commerce de détail, de l’e-commerce, des services financiers, du secteur public, etc. varient considérablement.

Dernière étape indispensable, vous devrez personnaliser vos modèles d'évaluation des anomalies. En donnant des informations sur les actifs ou les utilisateurs/départements importants, vous pourrez augmenter le score de risque en conséquence. Par exemple, une exfiltration de données touchant le laboratoire de recherche de votre entreprise peut être plus grave qu’un vol de données dans votre équipe marketing. Votre outil d’UBA doit également augmenter le score en cas de déviation par rapport au profil des groupes de pairs. Si une logique spécifique de notation des risques ne s'applique pas à votre environnement, adaptez-la immédiatement.

Lorsque vous déterminerez comment mettre en œuvre l’UBA dans votre entreprise, demandez-vous :

• Quelle quantité et quel type de données comportementales seront à votre disposition.
• De quel niveau d’expertise interne vous disposez, et si vous avez la possibilité de former du personnel de sécurité pour implémenter et administrer l’UBA.
• Quelle est l’envergure de votre réseau d'utilisateurs (en pensant au nombre de sites distants et au degré de mobilité de vos utilisateurs).

Comment rentabiliserez-vous l’UBA au maximum ?

Pour concrétiser pleinement la valeur de votre solution UBA/UEBA, suivez ces quatre bonnes pratiques : créez une feuille de route, utilisez la supervision continue, établissez des procédures et renforcez les compétences de votre équipe de sécurité.

1. Créez une feuille de route : Que voulez-vous que l’UBA fasse pour votre entreprise ? Par exemple, votre priorité est-elle de mettre un terme à l’exfiltration des données ? Ou bien de détecter les comptes compromis ou infectés ? Fixez des objectifs spécifiques pour être sûr de choisir le bon outil. Ensuite, déterminez les étapes du déploiement des fonctionnalités.
2. Supervision continue : une fois l’UBA déployée, l’outil nécessitera une maintenance régulière pour fonctionner de façon optimale. Même les outils les plus intuitifs imposent d’examiner continuellement le système et d'apporter les ajustements nécessaires au fil de l'évolution de vos activités.
3. Établissez des procédures : vous devez déterminer les critères de génération d'alertes et les actions à accomplir face à une suspicion d'activité malveillante. Sans cela, votre équipe de sécurité sera vite submergée de notifications. Créez les procédures nécessaires et ajustez-les continuellement pour réduire le nombre de fausses alertes et permettre à votre personnel de se concentrer sur les menaces réelles.
4. Comblez les lacunes de compétences : l’UBA facilite la vie de votre service de sécurité mais ne remplace pas les personnes. Vous devez former votre personnel à l’implémentation, la maintenance et l’ajustement continu de la solution afin de la maintenir à la hauteur du paysage de sécurité et de ses changements.

Pour résumer : pourquoi voudriez-vous vous passer de l’UBA ?

Dans un monde où les cybermenaces sont de plus en plus vigoureuses – et où l’environnement réglementaire est toujours plus dur et les conséquences des violations, toujours plus graves – les équipes de sécurité s'appuient de plus en plus sur la technologie de l’UBA pour la corrélation des événements, l’intelligence des menaces, l’agrégation des données de sécurité et plus encore.

Pour près d'un quart des entreprises représentées dans le rapport « Coût des menaces internes 2018 du Ponemon Institute dans le monde », la cause profonde d’une violation de données est une menace interne ou une attaque criminelle. Le coût moyen par incident était d’environ 607 745 $, et le coût total d’une violation de données s’élevait à 8,76 millions $ en moyenne. Ces attaques sont souvent reconnaissables par le comportement des utilisateurs au sein du réseau compromis.  

La sécurité des entreprises repose sur l’identification et la prise en charge rapide des problèmes de sécurité pour éviter ce type de pertes monumentales, et toute équipe de sécurité a intérêt à étudier les capacités des différents systèmes UBA disponibles pour identifier celui qui répond le mieux à ses besoins.