L'analyse du comportement des utilisateurs et des entités, ou UEBA, est un type de logiciel de sécurité qui utilise l'analyse comportementale, des algorithmes de machine learning et l'automatisation pour identifier les comportements anormaux et potentiellement dangereux des utilisateurs et des appareils. L'UEBA est particulièrement efficace pour identifier les menaces internes (personnes malveillantes ou pirates utilisant des informations d'identification compromises) qui peuvent échapper à d'autres outils de sécurité parce qu'elles imitent le trafic réseau autorisé.
L'UEBA, terme inventé par Gartner en 2015, est une évolution de l'analyse du comportement des utilisateurs (UBA). Alors que l'UBA ne suivait que les modèles de comportement des utilisateurs finaux, l'UEBA surveille également les entités non utilisatrices, telles que les serveurs, les routeurs et les appareils de l'Internet des objets (IdO), à la recherche de comportements anormaux ou d'activités suspectes qui pourraient indiquer des menaces ou des attaques à la sécurité.
L'UEBA est utilisé dans les centres opérationnels de sécurité (SOC) avec d'autres outils de sécurité d'entreprise, et la fonctionnalité UEBA est souvent incluse dans les solutions de sécurité d'entreprise telles que la gestion des informations et des événements de sécurité (SIEM), la détection et réponse des terminaux (EDR), la détection et la réponse étendue (XDR), et la gestion des identités et des accès (IAM).
Les solutions UEBA fournissent des informations sur la sécurité grâce à l'analyse des données et au machine learning. Les outils d'analyse du comportement du système UEBA ingèrent et analysent de grands volumes de données provenant de sources diverses afin de créer un aperçu de la manière dont les utilisateurs et les entités privilégiés opèrent généralement. Ils recourent ensuite au machine learning pour affiner cette base de référence. Au fur et à mesure que le ML apprend, la solution UEBA a besoin de rassembler et d'analyser moins d'échantillons de comportement classique pour établir une base de référence fiable.
Après avoir modélisé les comportements de référence, l'UEBA applique les mêmes capacités d'analyse avancée et de machine learning aux données d'activité actuelles des utilisateurs et des entités afin d'identifier en temps réel les divergences suspectes par rapport à cette référence. L'UEBA évalue le comportement des utilisateurs et des entités en analysant les données provenant du plus grand nombre possible de sources de l'entreprise : plus il y en a, mieux c'est. Ces sources sont généralement les suivantes :
Les équipements de réseau et les solutions d'accès au réseau, tels que les pare-feu, les routeurs, les réseaux privés virtuels et les solutions IAM.
Les outils et solutions de sécurité, tels que les logiciels antivirus/anti logiciels malveillants, les systèmes de détection et de prévention des intrusions (IDPS) et les systèmes d'information et de gestion (SIEM).
Les bases de données d'authentification, comme Active Directory, qui contiennent des informations essentielles sur l'environnement d'un réseau, les comptes d'utilisateurs et les ordinateurs actifs dans le système, ainsi que les activités autorisées aux utilisateurs.
Les flux et cadres de renseignements sur les menaces, tels que MITRE ATT&CK, qui fournissent des informations sur les cybermenaces et vulnérabilités répandues, notamment les attaques zero-day, les logiciels malveillants, les botnets et autres risques de sécurité.
Les systèmes de planification des ressources de l'entreprise (ERP) ou des ressources humaines (RH) qui contiennent des informations pertinentes sur les utilisateurs susceptibles de représenter une menace, tels que les employés qui auraient démissionné ou qui seraient mécontents.
L'UEBA se base sur ce qu'il a appris pour identifier les comportements anormaux et les évaluer en fonction du risque qu'ils représentent. Par exemple, plusieurs tentatives d'authentification échouées dans un court laps de temps ou des schémas d'accès anormaux au système pourraient indiquer une menace interne et donneraient lieu à une alerte de faible niveau. De même, un utilisateur qui brancherait plusieurs clés USB et qui effectuerait des téléchargements anormaux pourrait être le signe d'une exfiltration de données et se verrait attribuer un score de risque plus élevé.
L'utilisation de ces indicateurs permet aux équipes de sécurité d'éviter les faux positifs et de donner la priorité aux principales menaces, tout en documentant et en surveillant les alertes de faible niveau sur la durée qui, combinées, pourraient être révélatrices d'une menace sérieuse qui évolue lentement.
L'UEBA aide les entreprises à identifier les comportements suspects et renforce les efforts de prévention des pertes de données (DLP). Outre ces utilisations pratiques, l'UEBA peut également servir des objectifs plus stratégiques, tels que la démonstration de la conformité avec les réglementations relatives à la protection des données des utilisateurs et de la vie privée.
Cas d'utilisation pratiques
Initié malveillant : il s'agit de personnes disposant d'un accès autorisé, voire privilégié, au réseau de l'entreprise et qui tentent de lancer une cyberattaque. Les données seules, telles que les fichiers journaux ou les enregistrements d'événements, ne permettent pas toujours de repérer ces personnes, mais les analyses avancées le peuvent. Dans la mesure où l'UEBA fournit des informations sur des utilisateurs spécifiques, par opposition aux adresses IP, il permet d'identifier individuellement les utilisateurs qui enfreignent les politiques de sécurité.
Initiés compromis : ces pirates accèdent aux informations d'identification des utilisateurs ou des appareils autorisés par le biais de tentatives d'hameçonnage, d'attaques par force brute ou par d'autres moyens. Les outils de sécurité classiques peuvent ne pas les repérer parce que l'utilisation d'informations d'identification légitimes, bien que volées, fait paraître le pirate comme une personne légitime. Une fois infiltrés, ces pirates s'engagent dans un mouvement latéral, se déplaçant dans le réseau et obtenant de nouveaux identifiants afin d'accroître leurs privilèges et d'accéder à des actifs plus sensibles. Bien que ces pirates puissent utiliser des identifiants légitimes, l'UEBA peut repérer leur comportement anormal pour contrecarrer l'attaque.
Entités compromises : de nombreuses organisations, en particulier les fabricants et les hôpitaux, utilisent un nombre important d'appareils connectés, tels que les appareils IdO, dont la configuration de sécurité est souvent faible, voire inexistante. Ce manque de sécurité fait de ces entités une cible de choix pour les pirates informatiques, qui peuvent détourner ces appareils pour accéder à des sources de données sensibles, perturber les opérations ou organiser des attaques par déni de service distribué (DDoS). L'UEBA peut aider à identifier les comportements qui témoignent d'une compromission de ces entités, afin que les menaces puissent être traitées avant qu'elles ne prennent de l'ampleur.
Exfiltration de données : les menaces internes et les personnes malveillantes cherchent souvent à voler des données personnelles, de la propriété intellectuelle ou des documents de stratégie d'entreprise depuis des serveurs, des ordinateurs ou d'autres appareils compromis. L'UEBA aide les équipes de sécurité à repérer les violations de données en temps réel en les alertant en cas de téléchargements inhabituels et de schémas d'accès aux données.
Cas d'utilisation stratégiques
Mise en œuvre de la sécurité Zero Trust : une approche de sécurité Zero Trust est une approche qui ne fait confiance à personne et qui vérifie en permanence tous les utilisateurs ou entités, qu'ils soient externes ou internes au réseau. Plus précisément, la sécurité Zero Trust exige que tous les utilisateurs et entités soient authentifiés, autorisés et validés avant de se voir accorder l'accès aux applications et aux données, et qu'ils soient ensuite constamment réauthentifiés, réautorisés et revalidés afin de maintenir ou d'élargir cet accès au cours d'une session.
Une architecture Zero Trust efficace nécessite une visibilité maximale de tous les utilisateurs, appareils, actifs et entités sur le réseau. L'UEBA offre aux analystes de la sécurité une visibilité complète et en temps réel de toutes les activités des utilisateurs finaux et des entités, y compris les appareils qui tentent de se connecter au réseau, les utilisateurs qui tentent d'outrepasser leurs privilèges, et bien plus encore.
Conformité au RGPD : le règlement général sur la protection des données (RGPD) de l'Union européenne impose aux organisations des exigences strictes en matière de protection des données sensibles. En vertu du RGPD, les entreprises doivent savoir quelles données personnelles sont consultées, par qui, comment elles sont utilisées et quand elles sont supprimées. Les outils UEBA peuvent aider les entreprises à se conformer au RGPD en surveillant le comportement des utilisateurs et les données sensibles auxquelles ils accèdent.
L'UEBA, ou ses capacités, sont incluses dans de nombreux outils de sécurité disponibles de nos jours. Bien qu'il puisse être utilisé comme un produit autonome, l'UEBA doit être considéré comme un outil du dispositif global de cybersécurité. L'UEBA est notamment souvent utilisée en conjonction avec les outils suivants ou intégrée à ceux-ci :
Gestion des informations et des événements de sécurité (SIEM ) : Les systèmes SIEM regroupent les données relatives aux événements de sécurité provenant d'outils de sécurité internes disparates dans un seul journal et analysent ces données afin de détecter les comportements inhabituels et les menaces potentielles. L'UEBA peut accroître la visibilité du SIEM sur le réseau grâce à ses capacités de détection des menaces internes et d'analyse du comportement des utilisateurs. Actuellement, de nombreuses solutions SIEM intègrent l'UEBA.
Détection et réponse des terminaux (EDR) : les outils d'EDR surveillent les terminaux du système, tels que les ordinateurs portables, les imprimantes et les appareils IdO, à la recherche de signes de comportement inhabituel qui pourraient traduire une menace. Lorsque des menaces sont détectées, l'EDR les bloque automatiquement. L'UEBA complète, et fait souvent partie, d'une solution EDR puisqu'elle surveille le comportement des utilisateurs sur ces terminaux. Par exemple, une connexion suspecte peut déclencher une alerte de niveau faible auprès de l'EDR, mais si l'UEBA constate que le terminal est utilisé pour accéder à des informations confidentielles, l'alerte peut être portée à un niveau plus élevé et traitée rapidement.
Gestion des identités et des accès (IAM) : les outils de gestion des identités et des accès garantissent que les bonnes personnes et les bons appareils peuvent utiliser les bonnes applications et les bonnes données en cas de besoin. L'IAM est proactive et cherche à prévenir les accès non autorisés tout en facilitant les accès autorisés. L'UEBA apporte un niveau de protection supplémentaire en surveillant les signes de compromission des informations d'identification ou d'abus de privilèges par les utilisateurs autorisés.
Détecter, étudier et répondre aux menaces critiques de cybersécurité au sein de votre entreprise.
Optimisez QRadar SIEM avec l'UEBA, l'intelligence artificielle, la recherche d'incidents et bien plus encore.
Protégez-vous contre les menaces malveillantes ou non intentionnelles provenant d’initiés ayant accès à votre réseau.
Une solution SIEM permet aux entreprises d’identifier les menaces et les vulnérabilités potentielles avant qu’elles ne perturbent leurs activités.
L'EDR est conçu pour protéger automatiquement les utilisateurs finaux, les terminaux et les actifs informatiques contre les cybermenaces qui contournent les antivirus et les autres outils classiques d'endpoint security.
Le machine learning permet aux ordinateurs d'apprendre à la manière des humains, en améliorant progressivement leur niveau de précision.