Qu’est-ce que l’analyse du comportement des utilisateurs et des entités (UEBA) ?

L’UEBA, terme inventé par Gartner en 2015, est une évolution de l’analyse du comportement des utilisateurs (UBA). Alors que l’UBA ne suivait que les modèles de comportement des utilisateurs finaux, l’UEBA surveille également les entités non utilisatrices, telles que les serveurs, les routeurs et les appareils de l’Internet des objets (IdO), à la recherche de comportements anormaux ou d’activités suspectes qui pourraient indiquer des menaces ou des attaques à la sécurité.

L’UEBA est efficace pour identifier les menaces internes (initiés malveillants ou pirates utilisant des informations d’identification compromises) qui peuvent échapper à d’autres outils de sécurité parce qu’elles imitent le trafic réseau autorisé.

L’UEBA est utilisée dans les centres des opérations de sécurité (SOC) avec d’autres outils de sécurité d’entreprise, et les fonctions UEBA sont souvent incluses dans les solutions de sécurité d’entreprise telles que la gestion des informations et des événements de sécurité (SIEM), la détection et réponse des terminaux (EDR), la détection et la réponse étendues (XDR) et la gestion des identités et des accès (IAM).

Les solutions UEBA fournissent des informations sur la sécurité grâce à l’analyse des données et au machine learning. Les outils d’analyse du comportement du système UEBA ingèrent et analysent de grands volumes de données provenant de sources diverses afin de créer un aperçu de la manière dont les utilisateurs et les entités privilégiés opèrent généralement. Ils s’appuient ensuite au machine learning pour affiner cette base de référence. Au fur et à mesure que le ML apprend, la solution UEBA a besoin de rassembler et d’analyser moins d’échantillons de comportements classiques pour établir une base de référence fiable.

Après avoir modélisé les comportements de référence, l’UEBA applique les mêmes capacités d’analyse avancée et de machine learning aux données d’activité actuelles des utilisateurs et des entités afin d’identifier en temps réel les divergences suspectes par rapport à cette référence. L’UEBA évalue le comportement des utilisateurs et des entités en analysant les données provenant du plus grand nombre possible de sources de l’entreprise : plus il y en a, mieux c’est. Ces sources sont généralement les suivantes :

• Les équipements de réseau et les solutions d’accès au réseau, tels que les pare-feu, les routeurs, les réseaux privés virtuels et les solutions IAM.
   

• Les outils et solutions de sécurité, tels que les logiciels antivirus/anti-logiciels malveillants, les EDR, les systèmes de détection et de prévention des intrusions (IDPS) et les systèmes SIEM.
   

• Les bases de données d’authentification, comme Active Directory, contiennent des informations critiques sur l’environnement d’un réseau, notamment les comptes des utilisateurs, les ordinateurs actifs au sein du système et les activités que les utilisateurs sont autorisés à réaliser.

• Les flux et cadres de renseignements sur les menaces, tels que MITRE ATT&CK, qui fournissent des informations sur les cybermenaces et vulnérabilités répandues, notamment les attaques zero-day, les logiciels malveillants, les botnets et autres risques liés à la sécurité.
   

• Les systèmes de planification des ressources de l’entreprise (ERP) ou des ressources humaines (RH) qui contiennent des informations pertinentes sur les utilisateurs susceptibles de représenter une menace, tels que les employés qui auraient démissionné ou qui seraient mécontents.

L’UEBA se base sur ce qu’elle a appris pour identifier les comportements anormaux et les évaluer en fonction du risque qu’ils représentent. Par exemple, plusieurs tentatives d’authentification échouées dans un court laps de temps ou des schémas d’accès anormaux au système pourraient indiquer une menace interne et donneraient lieu à une alerte de faible niveau. De même, un utilisateur qui brancherait plusieurs clés USB et qui effectuerait des téléchargements anormaux pourrait être le signe d’une exfiltration de données et se verrait attribuer un score de risque plus élevé.

L'utilisation de ces indicateurs permet aux équipes de sécurité d'éviter les faux positifs et de donner la priorité aux principales menaces, tout en documentant et en surveillant les alertes de faible niveau sur la durée qui, combinées, pourraient être révélatrices d'une menace sérieuse qui évolue lentement.

L'UEBA aide les entreprises à identifier les comportements suspects et renforce les efforts de prévention des pertes de données (DLP). Outre ces utilisations pratiques, l'UEBA peut également servir des objectifs plus stratégiques, tels que la démonstration de la conformité avec les réglementations relatives à la protection des données des utilisateurs et de la vie privée.

Initié malveillant : ces pirates disposent d’un accès autorisé, voire privilégié, au réseau de l’entreprise et tentent de lancer une cyberattaque. Les données seules, telles que les fichiers journaux ou les enregistrements d’événements, ne permettent pas toujours de repérer ces personnes, mais les analyses avancées le peuvent. Dans la mesure où l’UEBA fournit des informations sur des utilisateurs spécifiques, par opposition aux adresses IP, elle permet d’identifier individuellement les utilisateurs qui enfreignent les politiques de sécurité.

Initiés compromis : ces pirates accèdent aux informations d’identification des utilisateurs ou des appareils autorisés par le biais de tentatives d’hameçonnage, d’attaques par force brute ou par d’autres moyens. Les outils de sécurité classiques peuvent ne pas les repérer parce que l’utilisation d’identifiants vérifiés, bien que volées, fait paraître le pirate comme une personne légitime. Une fois infiltrés, ces pirates s’engagent dans un mouvement latéral, se déplaçant dans le réseau et obtenant de nouveaux identifiants afin d’accroître leurs privilèges et d’accéder à des actifs plus sensibles. Bien que ces pirates puissent utiliser des identifiants vérifiés, l’UEBA peut repérer leur comportement anormal pour contrecarrer l’attaque.

Entités compromises : de nombreuses entreprises, en particulier les fabricants et les hôpitaux, utilisent un nombre important d’appareils connectés, tels que les appareils IdO, dont la configuration de sécurité est souvent faible, voire inexistante. Ce manque de sécurité fait de ces entités une cible de choix pour les pirates, qui peuvent détourner ces appareils pour accéder à des sources de données sensibles, perturber les opérations ou organiser des attaques par déni de service distribué (DDoS). L’UEBA peut aider à identifier les comportements qui témoignent d’une compromission de ces entités, afin que les menaces puissent être traitées avant qu’elles ne prennent de l’ampleur.

Exfiltration de données : les menaces internes et les personnes malveillantes cherchent souvent à voler des données personnelles, de la propriété intellectuelle ou des documents de stratégie métier depuis des serveurs, des ordinateurs ou d’autres appareils compromis. L’UEBA aide les équipes de sécurité à repérer les violations de données en temps réel en les alertant en cas de téléchargements inhabituels et de schémas d’accès aux données.

Mise en œuvre de la sécurité Zero Trust : une approche de sécurité Zero Trust est une approche qui ne fait pas confiance et qui vérifie en permanence tous les utilisateurs ou entités, qu’ils soient à l’extérieur ou déjà à l’intérieur du réseau. La sécurité Zero Trust exige que tous les utilisateurs et entités soient authentifiés, autorisés et validés avant de se voir accorder l’accès aux applications et aux données. Une fois l’accès accordé, ils doivent être à nouveau authentifiés, autorisés et validés en permanence pour conserver ou étendre cet accès tout au long d’une session.

Une architecture Zero Trust efficace nécessite une visibilité maximale de tous les utilisateurs, appareils, actifs et entités sur le réseau. L’UEBA offre aux analystes de la sécurité une visibilité complète et en temps réel de toutes les activités des utilisateurs finaux et des entités, y compris les appareils qui tentent de se connecter au réseau, les utilisateurs qui tentent d’outrepasser leurs privilèges, et bien plus encore.

Conformité au RGPD : le règlement général sur la protection des données (RGPD) de l’Union européenne impose aux entreprises des exigences strictes en matière de protection des données sensibles. En vertu du RGPD, les organisations doivent savoir quelles données personnelles sont consultées, par qui, comment elles sont utilisées et quand elles sont supprimées. Les outils UEBA peuvent aider les entreprises à se conformer au RGPD en surveillant le comportement des utilisateurs et les données sensibles auxquelles ils accèdent.

L’UEBA, ou ses capacités, sont incluses dans de nombreux outils de sécurité disponibles de nos jours. Bien qu’il puisse être utilisé comme un produit autonome, l’UEBA doit être considéré comme un outil du dispositif global de cybersécurité. L’UEBA est notamment souvent utilisée avec les outils suivants ou intégrée à ceux-ci :

Gestion des informations et des événements de sécurité (SIEM ) : Les systèmes SIEM regroupent les données relatives aux événements de sécurité provenant d’outils de sécurité internes disparates dans un seul journal et analysent ces données afin de détecter les comportements inhabituels et les menaces potentielles. L’UEBA peut accroître la visibilité du SIEM sur le réseau grâce à ses capacités de détection des menaces internes et d’analyse du comportement des utilisateurs. Actuellement, de nombreuses solutions SIEM intègrent l’UEBA.

Détection et réponse des terminaux (EDR) : Les outils d’EDR surveillent les terminaux du système, tels que les ordinateurs portables, les imprimantes et les appareils IdO, à la recherche de signes de comportements inhabituels qui pourraient traduire une menace. Lorsque des menaces sont détectées, l’EDR les bloque automatiquement. L’UEBA complète les solutions EDR en surveillant le comportement des utilisateurs sur ces terminaux, et elle en fait d’ailleurs souvent partie intégrante. Par exemple, une connexion suspecte peut déclencher une alerte de niveau faible auprès de l’EDR, mais si l’UEBA constate que le terminal est utilisé pour accéder à des informations confidentielles, l’alerte peut être portée à un niveau plus élevé et traitée rapidement.

Gestion des identités et des accès (IAM) : Les outils de gestion des identités et des accès garantissent que les bonnes personnes et les bons appareils peuvent utiliser les bonnes applications et les bonnes données en cas de besoin. L’IAM est proactive et cherche à prévenir les accès non autorisés tout en facilitant les accès autorisés. L’UEBA apporte un niveau de protection supplémentaire en surveillant les signes de compromission des informations d’identification ou d’abus de privilèges par les utilisateurs autorisés.