Face à l’explosion des attaques de plus en plus rapides et complexes, les défenseurs doivent redoubler d’ingéniosité pour mettre en place les contre-mesures nécessaires à une lutte efficace, mais lesquelles ? Une réponse possible se trouve dans les outils d’analyse comportementale de l’utilisateur.
L’Endpoint Detection & Response (EDR) et l’XDR sont des outils basés sur l’intelligence artificielle et l’analyse comportementale.
L’UBA pour « User Behavior Analytics », qui existe depuis quelques années, doit faire partie de l’arsenal de détection des équipes de cybersécurité. Mais quelle est son utilité ? sa nécessité ? et quel est son fonctionnement ?
Voilà des questions que l’on se pose aujourd’hui et auxquelles nous allons tenter de répondre. Nous verrons également comment l’analyse comportementale peut s’interfacer efficacement avec les outils déjà en place comme le SIEM ou la technologie XDR, et nous donnerons quelques conseils pour une meilleure utilisation de ce type d’outil.
Comment l’UEBA peut détecter des incidents de sécurité que les outils traditionnels ne voient pas ?
L’analyse comportementale n’est pas une technique nouvelle, en particulier en cybersécurité. Depuis quelques années, on a compris que le système d’information était en perpétuel mouvement, et que les utilisateurs allaient devenir l’un des « objets » les plus complexes à surveiller.
Pour faire simple, l’analyse comportementale va mettre en œuvre un certain nombre de mécanismes plus ou moins élaborés pour déceler les activités qui indiquent un comportement inhabituel ou anormal dans un environnement donné. Par extension, l’analyse comportementale de l’utilisateur, User Behavior Analytics (UBA), se concentre plus spécifiquement sur l’activité de l’utilisateur, et permet de répondre aux questions qui font le plus souvent défaut dans les systèmes de détection classiques : le qui, quand et où ?
Mais rapidement, on a vu les limites de cette analyse concentrée uniquement sur l’utilisateur. En effet, la contextualisation nécessaire à toute bonne détection en cybersécurité nécessitait que l’on arrive à définir le quoi ? (Le sur quoi ? le avec quoi ? le depuis quoi ?)
L’UBA s’est alors transformé en UEBA (User and Entity Behavior Analytics), concrètement défini en 2015 par Gartner.[1] L’UEBA se concentre sur le comportement des utilisateurs et sur celui des applications. Ce sont ces dernières qui sont représentées par le E, comme « Entité ». Le « E » fait donc référence à des assets très particuliers, comme le Cloud, le Endpoint, le réseau…
L’UEBA a les mêmes capacités que l’UBA, mais en plus d’analyser l’activité des utilisateurs, le moteur analyse celle de ces entités qui peuvent avoir un impact sur le comportement de l’utilisateur et inversement.
Pour fonctionner, l’UEBA est capable de travailler sur une multitude de données qui peuvent provenir d’une multitude de sources comme les SIEM, les solutions de type EPP, les NTA, des logs système et, évidemment les EDR.
La puissance d’un moteur d’analyse UEBA réside dans l’apprentissage des schémas comportementaux. En général, l’UEBA utilise des algorithmes de Machine Learning, et parfois de Deep Learning, pour créer une cartographie comportementale de chaque objet surveillé et ainsi définir une matrice de références complète dans laquelle chaque nouvelle entrée sera évaluée par rapport aux précédentes.
Quels sont les comportements détectés ?
Il peut s’agir de l’utilisation de terminaux ou de commandes inhabituels, des connexions à des heures inhabituelles, des séquences de frappe trop rapides, des tentatives d’exfiltration de données, des accès à certains fichiers système, des modifications de privilèges sur certains comptes utilisateurs, des connexions géographiques anormales…
Évidemment, des scénarios plus complexes peuvent être mis en œuvre, afin de couvrir des risques plus spécifiques liés à des populations particulières dans l’entreprise, à des fonctions précises, ou à des applications très critiques.
Voici un exemple de cas spécifique d’étape de détection :
Ci-dessous voyez de façon plus globale, le fonctionnement de l’analyse comportementale :
L’analyse comportementale a ainsi une action d’anticipation car elle va permettre de repérer au plus tôt une menace éventuelle, on voit à travers le schéma ci-dessus, quelle peut porter tant sur un traffic douteux, que sur un trop grand nombre de connexion, etc.
Toutes ces informations vont permettre de communiquer une information supplémentaire et ainsi d’apporter une réponse pour atténuer le risque. L’UEBA n’est pas un mécanisme de défense, mais un processus de surveillance.
Quel lien entre UEBA, SIEM ou EDR ?
Certains EDR n’ont pas de notion contextuelle et cela limite leurs performances. Ce manque de visibilité devient alors un frein à l’automatisation et au traitement des alertes. L’EDR TEHTRIS embarque un SIEM tactique intégré et des mécanismes d’analyse comportementale apportant des éléments de contexte dans la phase de détection. En complétant l’EDR avec des analyses comportementales dans un SIEM, on démultiplie encore les facultés de détection.
L’UEBA s’intègre désormais aux technologies XDR.
Pour rappel les SIEM collectent et agrègent les données des outils de sécurité et des systèmes informatiques, les analysent et fournissent des alertes en temps réel aux analystes. De plus en plus la brique d’analyse comportementale est ajoutée. Celle-ci permet une meilleure détection, en ajoutant cette dimension humaine jusqu’ici occultée. L’ajout de l’UEBA au SIEM permet une vision totale de l’utilisation des données dans un environnement hybride (au niveau de l’utilisateur et des équipements).
L’UEBA est une opportunité technologique qui offre la possibilité aux défenseurs de se concentrer sur leur métier. Certains contrôles sont désormais faits de manière hyper automatisée. L’analyse comportementale va permettre d’éliminer les faux positifs en aidant les analystes à déterminer ce qu’il faut rechercher, en répondant à la question : qu’est-ce qui est normal et qu’est-ce qui ne l’est pas ? Pour cela le moteur UEBA va collecter des informations sur le comportement attendu à la fois des utilisateurs et des machines, et créer des référentiels via le SIEM qui déterminera ensuite si le comportement inhabituel constitue une menace réelle ou non. L’UEBA va combiner l’apprentissage automatique et des règles pour créer des profils types.
L’UEBA est une réponse fiable dès lors qu’elle est associée à des technologies qui lui apportent du contexte, comme l’EDR, le NTA…Voici un schéma représentant le système de détection optimale :
L’UEBA intégré à une solution comme la technologie XDR va ajouter une couche de détection supplémentaire, face aux menaces internes et externes. Elle apporte une plus-value en termes de protection des mouvements sur le Endpoint, sur l’utilisateur, sur le trafic réseau local.
La plateforme XDR permet de centraliser et de consolider les données collectées par les différents capteurs et sondes déployés dans un système d’information.
Selon le rapport Verizon 2020 sur les violations de données, plus de 25% des violations ont mis des mois, voire plus, avant d’être découvertes.
Il est désormais entendu qu’il ne faut plus se concentrer uniquement sur la surveillance des socles techniques. Il faut désormais ajouter la surveillance de l’utilisateur et son écosystème, qui potentiellement peuvent être une source de menace.
La détection précoce, le temps de réponse réduit, voici les premiers avantages de la technologie UEBA. Anticiper la menace, et ainsi réduire le risque.
Mais pour être le plus efficace possible, les algorithmes de l’UEBA doivent être alimentés en données multiples, complètes et surtout fiables. Et c’est là que TEHTRIS apporte toute sa valeur. Toutes les briques de la TEHTRIS XDR Platform entrent en jeu à la fois dans la collecte, mais également dans le traitement, le scoring, l’agrégation, etc… Le moteur d’analyse comportementale intégré à notre plateforme XDR est donc nourri en temps réel de données immédiatement exploitables.
Se doter d’une technologie UEBA est donc un réel atout dans l’arsenal de cyberdéfense, mais il faut cependant garder en tête quelques bonnes pratiques pour que cela fonctionne.
Bonnes pratiques d’utilisation de l’UEBA
Pour une bonne optimisation de l’UEBA, il est important d’être au plus proche du Endpoint et de l’utilisateur ; c’est le cas de la TEHTRIS XDR Platform qui, du fait de sa technologie, est la plus efficace et la plus pointue du marché. Elle va pouvoir cartographier des profils précis du comportement et s’adapter à chaque contexte client.
L’UEBA ne remplace pas les autres systèmes de sécurité mais apporte une réelle valeur ajoutée.
Ainsi pour être efficace, il va falloir :
Définir des use cases
En fonction de ses besoins de détections et de la couverture du risque associé, chaque équipe opérationnelle de détection va mettre l’accent sur la détection d’abus de compte à privilège, sur la compromission, l’usurpation d’identité ou la fraude. Chaque situation à surveiller est un use case particulier, qui déroule un ou plusieurs scenarios techniques. C’est une phase cruciale de la mise en œuvre de l’analyse comportementale. Les algorithmes doivent « comprendre » où ils sont pour être pertinents. Et ces use cases ne doivent pas être figés dans le temps, bien au contraire. Ils doivent être évolutifs, dynamiques s’il le faut, et être capable de prendre en compte plusieurs systèmes organisationnels.
Multiplier les types d’analyse
L’analyse doit porter bien sûr, sur les utilisateurs à privilèges ou à risques mais pas uniquement. On l’a vu précédemment, en fonction du risque à couvrir, plusieurs scénarios peuvent être déroulés. Et il est fortement conseillé de tous les créer, de les croiser et de les corréler.
Définir les sources et les comportements sur les données
Le choix des données à utiliser est primordial. Il faut être en capacité de définir ce que l’on cherche et où le chercher. Pour ça, il va être impératif de déterminer les sources des données, en évaluer la qualité, la quantité, la fréquence, etc… C’est tout ce travail d’audit qualitatif et quantitatif que fait en amont et pour vous la plateforme XDR de TEHTRIS : chacune de ses briques est impliquée dans la remontée d’une information propre, complète et fiable. L’UEBA n’a plus qu’à l’utiliser au travers de ses algorithmes pour couvrir les cas d’usages de détection. ll est impératif de collecter des données à partir de sources de données variées, la TEHTRIS XDR Platform a été déployée dans plus de 100 pays et est interfaçable avec les solutions de sécurité du marché, ce qui lui permet d’avoir à sa disposition un vaste périmètre de jeu, et de traiter de grands volumes d’activité.
Mise à jour régulière
Les algorithmes de Machine Learning ont besoin d’être régulièrement revus, ajustés et parfois corrigés pour coller au mieux aux données traitées, mais également aux évolutions constantes du système d’information et du comportement même de l’entreprise et de ses utilisateurs. Le cas de la crise sanitaire a été un exemple flagrant : les algorithmes qui n’ont pas été adaptés à la situation n’ont plus vu l’environnement de la même façon et ont dû faire des détections qui n’en étaient pas. La mise à jour des scénarios, des données collectées et des algorithmes est donc l’une des clés du succès.
L’hyper automatisation de la plateforme XDR de TEHTRIS a là encore cet avantage. La pertinence de ses algorithmes de détection va permettre de prendre des décisions en temps réel.
Enrichir la corrélation et la contextualisation
On vient de le voir il est important de faire des mises à jour régulières, car le contexte, l’actualité évolue, de la même manière le scoring va évoluer. Ce scoring va avoir un impact sur la détection de la menace. A chaque écart de comportement, le système ajoute au score de risque à tel ou tel utilisateur ou machine. Plus le comportement est inhabituel, plus le score de risque est élevé. L’agrégation se fait automatiquement, dès l’instant ou le score atteint un certain niveau, l’analyste est prévenu et peut agir en conséquence. Les données sans ce contexte sont beaucoup moins utiles et peuvent entraîner des faux positifs.
Pour plus de précisions, découvrez la plateforme XDR de TEHTRIS : https://tehtris.com/fr/produits/xdr-extended-detection-response/
Posséder une approche holistique de la cybersécurité
L’approche globale de la sécurité est encore une fois la plus appropriée. Il faut pouvoir combiner d’une part l’analyse comportementale, aidée du machine learning et, d’autre part, l’automatisation via la technologie XDR.
Une stratégie de défense de cybersécurité efficace et réactive qui se concentre sur la détection des attaques en temps réel est importante, une telle approche à elle seule reste insuffisante. Il faut également investir dans une solution proactive, se concentrer sur la façon dont une attaque peut être possible et automatiser la neutralisation. TEHTRIS œuvre dans ce sens, et poursuit son travail d’innovation, qui reste encore et toujours son ADN.
La sécurisation est un challenge de tous les jours. Il devient donc impératif pour les entreprises de se concentrer sur leurs actifs les plus importants. Pour ce faire, elles doivent adopter une vision globale de leurs systèmes d’information et des risques afférents. Cette approche holistique de la cybersécurité, fondée sur la gestion des risques, nécessite une définition très claire des stratégies de détection et d’anticipation.
Cette approche globale repose essentiellement sur la capacité d’identifier et classifier les données critiques de l’entreprise, pour définir les risques et donc les scénarios à mettre en œuvre pour les couvrir. L’adoption et la mise en œuvre des outils et techniques devient ensuite la clé d’une parfaite posture de cyberdéfense et c’est ce qu’a parfaitement compris TEHTRIS il y a plusieurs années : développer un écosystème complet et fiable capable de collecter, analyser, corréler toutes les informations de sécurité disponibles afin de produire des alertes contextualisées et donc utilisables immédiatement. Avec la XDR Platform, TEHTRIS change le paradigme de la cybersécurité qui était cantonnée, jusque-là, à une question d’infrastructure.
La XDR Platform de TEHTRIS prend en compte l’ensemble des activités de l’entreprise, de l’infrastructure périmétrique du domaine Legacy à l’infrastructure la plus éloignée comme le cloud et la multitude de ses applications.
Pour plus de détail sur nos offres, n’hésitez pas à nous contacter.
[1] Gartner-Avivah Litan-Market Guide for User and Entity Behavior Analytics Published 22 September 2015