Qu’est-ce que l’UEBA ?

L’analyse du comportement des utilisateurs et des entités, ou UEBA de l’anglais User and Entity Behavior Analytics, est un outil puissant de cybersécurité qui détecte les comportements inhabituels à partir des modèles de trafic sur le réseau.

Les actions des attaquants varient une fois qu’ils ont compromis un réseau. Les organisations ont donc besoin d’un moyen de détecter rapidement les activités malveillantes afin de contenir la brèche.

L’attaquant peut voler des fichiers, stocker des malwares sur un périphérique de stockage, interroger des bases de données, prendre le contrôle des appareils des utilisateurs ou simplement écouter le trafic réseau.

Toute activité réseau peut être surveillée, mais toute détection positive doit pouvoir être distinguée de l’activité légitime de l’utilisateur afin d’éviter les faux positifs. L’UEBA détecte les modèles de trafic inhabituels et alerte les administrateurs sans interférer avec le trafic réseau légitime et les comportements habituels des utilisateurs.

Un réseau informatique peut compter des milliers de dispositifs et d’utilisateurs qui génèrent un trafic quotidien. L’informatique dématérialisée, les employés travaillant à domicile et les connexions publiques constituent un environnement riche en cibles pour les attaquants.

Le trafic généré par les utilisateurs et les appareils est généralement surveillé pour détecter les anomalies, mais peu d’outils surveillent les modèles de comportement.

L’UEBA aide les professionnels de la sécurité à identifier les anomalies en utilisant les statistiques d’activité de base et en les comparant aux comportements actuels des utilisateurs. Un outil UEBA distingue les octets potentiellement malveillants parmi les milliards d’octets qui circulent sur le réseau.

L’analyse est ce qui fait de l’UEBA un outil puissant en matière de sécurité. Dans l’ancienne défense de la cybersécurité, de simples déclencheurs étaient définis pour indiquer quand un fichier était consulté ou quand l’authentification échouait.

L’UEBA utilise souvent des algorithmes d’intelligence artificielle (IA) et d’apprentissage automatique (ML) pour déterminer si l’une de ces actions est une authentification légitime de l’utilisateur ou l’action d’un attaquant.

L’UEBA a plusieurs fonctions dans la cybersécurité, notamment :

• La détection des menaces d’initiés : Les menaces d’initiés sont généralement des employés, mais elles peuvent également inclure des fournisseurs tiers ayant accès au réseau. Les violations de données par des initiés peuvent être malveillantes ou involontaires, par exemple lorsqu’un employé est victime d’une attaque par ruse.
• Détection des comptes compromis : Lorsqu’un employé est victime d’un phishing, un attaquant utilise les informations d’identification volées pour accéder au réseau et voler les données stockées.
• Détection des attaques par force brute : Les attaques sur les comptes d’utilisateurs sont courantes dans les environnements publics dans le cloud. Une attaque par force brute peut persister indéfiniment si rien n’est mis en place pour l’arrêter.
• Détection d’une compromission : lorsque tous les autres systèmes de cybersécurité ne parviennent pas à bloquer un attaquant, un UEBA arrête les attaquants déjà présents dans le périmètre et actifs sur le réseau.

Sans systèmes UEBA, les organisations seraient incapables de détecter une violation de données et de prendre des mesures pour remédier à la compromission.

Plus longtemps un attaquant a accès à un réseau, plus il peut exfiltrer de données. Puisque la détection d’un attaquant peut prendre des mois, les systèmes UEBA réduisent en priorité le temps d’accès de l’attaquant aux systèmes critiques avant de le prendre définitivement.

Après la compromission d’un réseau, un attaquant effectue souvent des actions furtives pour éviter la détection. La plupart des systèmes de cybersécurité empêchent les attaquants d’accéder au réseau, mais très peu de systèmes peuvent détecter des tendances de trafic suspect après une violation.

L’intelligence UEBA se concentre sur l’identification de modèles étranges par rapport à la ligne de comportement standard dans l’environnement.

Supposons que vous ayez des fichiers sensibles contenant la propriété intellectuelle de l’entreprise. Des avocats et d’autres cadres accèdent à ce fichier de manière aléatoire, mais seulement quelques fois par an.

Un attaquant pourrait accéder à ce fichier de plusieurs façons. Tout d’abord, il pourrait s’agir d’une campagne d’hameçonnage au cours de laquelle un attaquant volerait le nom d’utilisateur et le mot de passe d’un avocat. Une autre méthode pourrait être un logiciel malveillant sur le réseau pour voler les fichiers et les envoyer à un serveur contrôlé par l’attaquant. Un initié pourrait prendre une copie du fichier et l’envoyer à une messagerie externe.

Toute activité réalisée par l’attaquant génère du trafic. Supposons que l’attaquant ou un logiciel malveillant sur le réseau recherche la propriété intellectuelle et trouve le fichier. L’activité sur le fichier pourrait nécessiter une authentification ou une autorisation, de sorte que l’analyse et l’accès au fichier généreraient un trafic inhabituel par rapport à un utilisateur unique s’authentifiant sur le réseau et ouvrant le fichier.

L’attaquant prendrait une copie, un comportement inhabituel par rapport aux tentatives d’accès précédentes d’utilisateurs légitimes. Un UEBA prend un snapshot de base des modèles de trafic normaux sur ce fichier, puis le compare à l’activité actuelle.

Comme l’attaquant ne connaît pas le comportement normal d’accès aux fichiers, tout comportement sera probablement différent de l’activité normale du réseau. L’UEBA identifie alors l’activité inhabituelle et alerte les administrateurs d’une violation potentielle.

L’UEBA est également utile pour les menaces internes. Les menaces internes sont un problème souvent négligé. Les organisations partent du principe que l’on peut faire confiance aux employés, mais les employés malveillants qui ont l’intention de nuire peuvent mener des activités malveillantes avec beaucoup moins d’obstacles qu’un attaquant extérieur.

Les employés malveillants peuvent faire partie d’une entreprise d’espionnage ou simplement vouloir porter atteinte aux données de l’entreprise. Dans certains cas, les menaces internes ne sont pas malveillantes, mais résultent du piratage du compte d’un employé ou d’un hameçonnage réussi.

L’activité des menaces internes est également considérée inhabituelle par l’outil UEBA puisque l’utilisateur tente d’accéder à des fichiers auxquels il n’a pas accès habituellement ou de faire des copies de fichiers qui ne sont généralement pas très actifs.

La plupart des organisations utilisent un outil de gestion des informations et des événements de sécurité (SIEM) pour détecter les activités inhabituelles sur le réseau, de sorte qu’un UEBA semble redondant.

Cependant, un outil UEBA fonctionne différemment d’un SIEM et peut fonctionner en conjonction avec un SIEM. Un SIEM est un système basé sur des règles qui prend les fichiers journaux de plusieurs systèmes différents, analyse les données et fournit ensuite des informations aux analystes. Il fournit également des alertes et des suggestions qui aident les analystes à prendre des décisions.

Un outil UEBA fonctionne un peu différemment. Il détecte les comportements inhabituels des utilisateurs à l’aide de l’IA, d’algorithmes et d’une évaluation des risques afin de déterminer si les schémas de trafic sont ceux d’utilisateurs légitimes ou d’attaquants.

Ces outils fonctionnent avec le big data et intègrent l’apprentissage automatique dans leurs systèmes d’analyse, de rapport et d’alerte. Globalement, il est préférable d’utiliser un SIEM avec un UEBA pour une sécurité maximale après une compromission.