Analyse du comportement des entités et des utilisateurs (UEBA) pour Enterprise Security

Vous avez déjà pensé à prendre des mesures pour empêcher les attaques internes, souvent dévastatrices ? Malgré les systèmes de prévention des intrusions et les logiciels antivirus, ces menaces persistent. Et les coûts qu’elles entraînent ont augmenté de 44 % au cours des deux dernières années. 

En 2023, les menaces internes ont été responsables de la fuite non autorisée de près d’un milliard d’enregistrements. Pour faire face à cette menace, l’analyse du comportement des entités et des utilisateurs (User and Entity Behavior Analytics, UEBA) apparaît comme une solution moderne pour la sécurité des entreprises. Elle signale systématiquement les tendances anormales pouvant être le signe d’une faille imminente.

Pour comprendre comment fonctionne l’UEBA, nous allons nous pencher sur la question et évaluer son efficacité. 

Pourquoi les approches actuelles de la cybersécurité ne suffisent-elles pas ?

74 % des entreprises ont été confrontées à des risques de sécurité provenant de leur propre réseau, autrement dit, des menaces internes. En effet, la détection basée sur la signature reste leur principale méthode de détection des menaces. Comment fonctionne-t-elle ? Les systèmes de prévention des intrusions et les logiciels antivirus identifient des empreintes d’attaques en les comparant à des signatures connues. Leur lacune ? Les adversaires peuvent contourner ces mesures de sécurité à l’aide de différentes méthodes : 

• le déni de service,
• la fragmentation,
• la dissimulation,
• la capture d’application.

Pour répondre à ce problème, certains IPS/IDS (systèmes de détection des intrusions) comparent le trafic réel à un profil de référence. Mais cette approche n’est pas non plus sans faille. Si ces systèmes permettent de mettre en place une détection personnalisée des intrusions, ils coûtent cher et mobilisent davantage de ressources.

Malgré toutes ces mesures, les IPS/IDS ne suffisent pas à détecter toutes les attaques. Ils produisent de fausses alertes et n’affichent qu’un ROI médiocre. 

L’analyse du comportement des entités et utilisateurs (UEBA) : une définition

L’UEBA est une solution de gestion des risques stratégiques qui s’appuie sur des algorithmes de ML et l’analyse du comportement pour délivrer des informations complètes sur les utilisateurs et les entités. En analysant ces informations, les équipes de sécurité peuvent identifier des anomalies et prendre des mesures pour atténuer les impacts potentiels.

Différente de l’analyse du comportement des utilisateurs (user behavior analytics, UBA), l’UEBA a un champ d’action plus vaste. Si l’UBA s’intéresse uniquement au comportement des utilisateurs, l’UEBA examine en outre celui des entités présentes sur le réseau :

• les périphériques réseau,
• les routeurs,
• les bases de données.

Prenons un exemple : imaginez que le réseau d’une entreprise enregistre 1 000 requêtes de données par heure. Un jour, il enregistre un pic de 10 000 requêtes en une heure. Dans un tel cas, l’UEBA reconnaît une anomalie et avertit rapidement les administrateurs.

L’UEBA et les autres approches de sécurité

Pour évaluer l’UEBA, comparons-la aux deux grandes approches classiques de la sécurité :

• la détection basée sur la signature,
• la détection des menaces basée sur les anomalies.

Elles fonctionnent de la manière suivante :

La détection basée sur la signature applique des règles prédéfinies pour localiser les menaces connues et déclencher des alertes en reconnaissant des signatures au sein de l’environnement qu’elle supervise.

Comme les activités malveillantes se distinguent des modèles habituels, la détection basée sur les anomalies établit des profils de comportement typiques pour repérer les déviations. Malgré sa capacité à détecter les menaces inconnues, cette approche a l’inconvénient de produire un taux élevé de faux positifs.

En lieu et place de ces deux options, l’UEBA s’affirme comme une brillante technologie de détection en temps réel pour les anomalies et les menaces de sécurité. Elle représente visuellement les modèles de comportement et classe les risques en fonction. Avec une solution de ce type, les administrateurs réseau peuvent identifier les comportements anormaux et prendre rapidement des mesures sur la base des résultats. 

Fonctionnement de l’UEBA

L’UEBA s’articule en plusieurs phases, dont chacune contribue à délivrer une approche complète de la sécurité.

1) Importation des données

La phase initiale implique la supervision et la collecte systématiques de données issues de diverses sources : logs de pare-feux, données de proxy web, enregistrement DNS et activité des VPN. Ces données sont importées dans le système UEBA pour y être analysées.

2) Corrélation des éléments

Les données collectées sont ensuite intégrées pour identifier les relations entre les différents éléments du système. Cela permet d’établir des liens et de reconnaître des modèles dans le comportement des utilisateurs, les activités des hôtes et le fonctionnement des appareils.

3) Analyse

Des algorithmes de machine learning sophistiqués parcourent les données intégrées pour identifier les anomalies, les modèles et les menaces potentielles. 

4) Notation

Le processus de supervision continue des systèmes implique d’apprendre des précédentes détections et de s’y adapter en tenant compte des retours fournis par des analystes compétents. Ce mécanisme de notation en continu renforce la capacité du système à faire face aux menaces émergentes avec rapidité et efficacité.

5) Passage à l’action

Un système UEBA produit une vue à 360° de l’entité et apporte un éclairage sur les utilisateurs, les hôtes et les appareils compromis. Cette visibilité permet d’identifier les initiés malveillants et facilite la supervision des réseaux des partenaires. Grâce à ces outils, les équipes de sécurité peuvent hiérarchiser les alertes et prendre des mesures pour renforcer la posture de sécurité de l’entreprise.

Pourquoi utiliser l’UEBA pour assurer la sécurité de votre entreprise ? 

Maintenant que vous comprenez le fonctionnement de l’UEBA, vous vous demandez peut-être si vous devez adopter cette technologie. Voici quelques excellentes raisons de le faire :

Réduction du temps moyen de réponse

L’UEBA donne aux équipes de sécurité tout le temps nécessaire pour apporter une réponse efficace aux menaces internes. En identifiant rapidement les comportements à haut risque et en réduisant le délai d’intervention, elle atténue les dommages potentiels en agissant en amont.

Réduction des risques de sécurité

En identifiant les anomalies au plus tôt, l’analyse du comportement des utilisateurs et des entités protège les données et préserve l’intégrité de l’infrastructure de sécurité de l’entreprise. Elle la prémunit également contre les pertes de données et minimise les dommages que pourraient provoquer les menaces. 

Détection automatisée des menaces

Compter uniquement sur l’expertise humaine peut être un frein à la croissance, en particulier à l’ère de l’IA. Heureusement, l’UEBA vient combler cette lacune grâce au machine learning et à l’analyse comportementale. Cela permet aux entreprises de compenser un éventuel manque d’expertise en cybersécurité chez les analystes. 

Réduction des fausses alertes

Les faux positifs détournent l’attention des véritables failles de sécurité. Avec l’UEBA, les administrateurs peuvent se concentrer sur les cas authentiques d’activité anormale. En filtrant les fausses alertes, elle améliore l’efficacité des opérations des équipes de sécurité et leur permet de s’attaquer aux vrais problèmes.

Imaginez que vous adoptiez cette approche pour la sécurité de votre entreprise. Le résultat ? Une posture de sécurité globale robuste.

Mesurer l’efficacité de l’analyse du comportement des utilisateurs et des entités

En 2021, des étudiants de l’Université Xi’an d’architecture et de technologie ont fait des expériences avec un système UEBA, et ont traité 530 événements sur la période de test déterminée. 

En appliquant des critères de configuration prédéfinis, le système a détecté des anomalies en lien avec le comportement des utilisateurs et les a comparées au profil historique de chacun d’eux. Parmi l’ensemble des événements, 103 ont déclenché une alerte à l’intention de l’administrateur système, accompagnée d’un score de confiance spécifique. 

Une analyse détaillée des alertes reçues par l’administrateur local a indiqué qu’une seule alerte sur 78 événements était infondée. Autrement dit, cela représente un taux de faux positif de 2,13 %, un chiffre raisonnablement bas si on le compare à celui d’autres systèmes comme le SIEM.

Comprendre les lacunes de l’UEBA

Bien que cette expérience démontre d’excellents taux de détection assortis de bons scores de confiance, l’UEBA a aussi ses écueils :

• La modification des règles dans le système est délicate et prend beaucoup de temps.
• Malgré la puissance de la technologie, il faut toujours des experts humains pour vérifier la précision des alertes et prendre des décisions.
• L’intégration aux environnements clouds limite l’utilisation du système avec des sources de données diverses. Cela entraîne des lacunes dans la détection des menaces et produit une image incomplète des risques de sécurité potentiels.
• Certains utilisateurs tiennent à la protection de leur vie privée, ce qui peut être un obstacle à la supervision de leur comportement.

Sécuriser vos systèmes grâce à l’analyse du comportement des utilisateurs et des entités

Quand les mesures de sécurité traditionnelles montrent leurs limites face à des techniques d’attaque sophistiquées, l’analyse du comportement des utilisateurs et des entités peut être une réponse prometteuse. L’analyse des subtilités comportementales des utilisateurs et des entités du réseau d’une entreprise peut signaler les activités anormales en amont. Vous pourrez donc maintenir la sécurité de vos systèmes en agissant rapidement face aux menaces.