Le dictionnaire Collin définit le “modèle de comportement” comme une manière récurrente d’agir d’un individu ou d’un groupe envers un objet donné ou dans une situation donnée. L’analyse comportementale et la compréhension des schémas comportementaux des individus se sont avérées apporter des solutions détaillées à des problèmes dans différents domaines, y compris la cybersécurité.
Lorsqu’il s’agit d’organisations luttant contre les cybermenaces, les solutions de sécurité traditionnelles basées sur des règles ne peuvent pas fournir de visibilité sur des cyberattaques de plus en plus sophistiquées. Nous constatons ce schéma dans les brèches réussies qui se produisent quotidiennement. De plus, dans le processus de détection et de correction rapides des menaces de sécurité, les outils de sécurité traditionnels ont tendance à submerger les analystes de sécurité avec des alertes sans contexte.
C’est là que l’analyse du comportement des utilisateurs et des entités (UEBA) offre une solution plus efficace. Une solution UEBA orchestre des analyses avancées grâce à l’enrichissement des données, la science des données et l’apprentissage automatique pour lutter contre les menaces avancées. Grâce à ce processus, l’UEBA produit un volume moindre d’alertes qui sont plus précises et réduit le nombre de faux positifs. L’incorporation de l’analyse comportementale dans votre solution SIEM permet d’aborder le paysage des menaces de sécurité anormales et avancées parallèlement à la détection traditionnelle des menaces basée sur des règles.
Examinons quelques cas d’utilisation où l’analyse comportementale joue un rôle important dans la détection des attaques.
Différencier les comportements normaux et malveillants
Ce n’est un secret pour personne que les menaces internes sont l’une des nombreuses sources de perte de données sensibles. Dans ce cas, l’acteur de la menace est un initié malveillant ou compromis. La détection des menaces internes peut s’avérer difficile, car la plupart des outils de sécurité ne peuvent pas différencier un utilisateur légitime d’un acteur potentiel de la menace.
Dans ce cas, une solution UEBA détecte les utilisateurs qui effectuent des activités suspectes en dehors de leur ligne de base normale. L’analyse du comportement prend en compte l’historique du comportement d’un utilisateur particulier et détecte les activités anormales comme :
- Des connexions à des heures inhabituelles, à des fréquences inhabituelles, à partir d’emplacements inhabituels et l’accès à des données ou des systèmes inhabituels, tels que les serveurs SQL.
- Des modifications d’escalade de privilèges pour des systèmes critiques
- Accès non autorisé à des comptes d’utilisateurs
- Tentatives d’exfiltration de données par la mise en corrélation d’événements sans rapport apparent, comme une connexion à une heure inhabituelle, l’accès à une base de données de serveur SQL et l’insertion d’une clé USB.
Détection rapide et précise des actifs compromis
En matière de cyberattaques, les systèmes, les hôtes, les comptes ou les appareils font partie des actifs initialement visés. Les acteurs de menaces malveillantes peuvent opérer sans être détectés dans le réseau de votre organisation pendant des semaines, voire des mois. Grâce à l’analyse comportementale, la détection des menaces de sécurité telles que les dispositifs compromis devient plus facile, plus précise et beaucoup plus rapide.
Dans ce cas, la solution UEBA détecte les activités anormales en surveillant le comportement des entités de votre organisation. La solution surveille :
- Les comptes d’utilisateurs privilégiés à la recherche de compromission.
- Les serveurs pour les activités qui s’écartent de la ligne de base normale.
- Les comportements anormaux en temps réel, comme l’augmentation du trafic sur les périphériques réseau, notamment les périphériques Windows, les routeurs et les pare-feu.
Détection des tentatives d’exfiltration de données
L’exfiltration de données se produit lorsque des données sensibles sont transférées hors de l’organisation sans autorisation. Cela peut se produire lorsqu’un utilisateur malveillant transfère des données en copiant leur contenu sur un périphérique physique ou sur Internet. Elle peut également se produire par le biais d’infections de logiciels malveillants dans les systèmes de votre organisation.
Dans ce cas, la solution UEBA surveille les appareils du réseau, détecte et fournit des alertes en temps réel pour les événements suspects tels que :
- Des installations inhabituelles de logiciels sur des appareils particuliers.
- Téléchargements ou accès inhabituels à des données sensibles
- Des quantités inhabituelles de trafic réseau qui pourraient indiquer un transfert de données important, en contradiction avec la ligne de base normale de l’utilisateur ou de la machine qui transfère les données.
Les attaques actuelles étant de plus en plus sophistiquées et les menaces de sécurité émanant à la fois de l’extérieur et de l’intérieur du réseau, votre entreprise a besoin d’une solution de sécurité capable de détecter et d’atténuer les menaces inhabituelles. Une solution UEBA peut s’adapter rapidement à l’environnement de votre organisation en apprenant et en analysant le comportement de vos utilisateurs et entités, et vous alerter sur les activités anormales qui s’écartent de la norme. Elle vous aide également à vous préparer à des menaces inhabituelles, qu’elles proviennent de personnes internes ou externes malveillantes.
Si vous souhaitez en savoir plus sur l’analyse du comportement et l’apprentissage automatique dans SIEM, rejoignez-nous pour cette série de webinaires de deux jours où nous plongerons dans le monde de l’apprentissage automatique et explorerons des exemples concrets d’atténuation des cybermenaces telles que la compromission de comptes, les menaces internes, les violations de données, etc. Découvrez comment vous pouvez utiliser cette dernière tendance en matière de cybersécurité pour renforcer vos défenses.
Source: The importance of behavior analytics in your organization’s cybersecurity