Les bénéfices d’une approche
UEBA
Pourquoi des outils UEBA ?
Afin de s’adapter face à ces menaces et de limiter leur coût, les entreprises souhaitent donc avoir recours à de nouvelles techniques de détection de plus en plus performantes et non visibles par les cyberattaquants[1]. Pare-feu, double authentification, antivirus, les hackers passent outre ces technologies. Une place croissante est aujourd’hui accordée aux outils de détection et de réponse automatique et orchestrée via des outils de SOAR, aux scanners de vulnérabilités ou encore aux systèmes de gestion des logs (SIEM).[2]
Dans cette logique, les outils d’UEBA – User Entity Behavior Analytics, analysent des comportements utilisateurs et entités[3] afin d’identifier ceux malveillants. Ils représentent ainsi un réel atout. Aujourd’hui, une surveillance du trafic généré par les utilisateurs et les appareils est déjà établie. Mais peu d’outils examinent les modèles de comportements en profondeur. Pourtant, certains de ces comportements pourraient être inhabituels, et supposeraient le début d’une atteinte sur le réseau. Une information qui se révèlerait être essentielle afin d’anticiper le plus tôt possible une compromission éventuelle du SI.
C’est pourquoi de nombreux éditeurs de solutions se tournent vers l’UEBA de fait de sa capacité à analyser et alerter vis-à-vis de ces comportements qualifiés comme inhabituels. En 2017, Gartner précisait déjà que « 60% des principaux éditeurs de solutions CASB et 25% des principaux éditeurs de solutions SIEM intégraient (déjà) des fonctions d’UEBA ».
Mais quels sont les véritables atouts de cette technologie ? Dans quelles mesures se différencie-t-elle des systèmes de surveillance existants ?
Le fonctionnement de l’UEBA
Pour distinguer au mieux les avantages de cette technologie, revenons brièvement sur son fonctionnement qui se résument en plusieurs étapes.
Une fois l’ensemble des data collectées, l’UEBA va traiter et organiser les données des entités et utilisateurs afin d’établir une baseline[4]. C’est par rapport à ce modèle de référence que l’UEBA se rapportera pour distinguer si le comportement relevé est dans la norme ou non. Pour ce faire, il aura concrètement recours à des modèles statistiques s’appuyant sur l’intelligence artificielle et en particulier le Machine Learning supervisé, le mieux adapté à la constitution de la baseline de référence. Cela permettra ainsi de détecter précisément toute anomalie éventuelle comparée au trafic normal.
En effet, détecter une déviance de la baseline est décisive notamment en termes de temporalité. Sachant qu’un cyberattaquant réalise généralement des actions furtives pour éviter de se faire détecter puisqu’il ne connait pas le comportement habituel de l’utilisateur ou de l’équipement qu’il vient de compromettre pour établir son accès initial. L’enjeu est donc bien d’être alerté sur ces légères anomalies d’usages. Par exemple, la simple copie d’un fichier par un attaquant pourrait laisser la porte ouverte à des atteintes sécuritaires plus graves comme la modification d’autorisations, la création de nouveaux utilisateurs, l’accès à des données protégées etc. C’est même la première chose que l’assaillant va chercher à faire : installer le payload (charge utile) sur la machine qu’il cherche à compromettre totalement.
L’UEBA analyse un périmètre large de sources, pour comparer les données obtenues à partir des systèmes de données existants afin d’avoir une analyse toujours plus précise.
Une fois toutes ces informations intégrées et analysées, l’UEBA alertera, par le biais d’une liste accompagnée de preuves, les analystes de sécurité si une activité inhabituelle est détectée en y associant un score de risque qualifiant ainsi le niveau de risque de la menace. Aux équipes de sécurité, ensuite, de se charger d’enquêter sur ce(s) comportement(s) irrégulier(s), surveiller les principaux acteurs malveillants et de prendre les mesures adéquates.
De la richesse d’une approche par UEBA
L’analyse comportementale proposée par l’approche UEBA représente donc une forte valeur ajoutée pour des équipes de sécurité. Et ce pour plusieurs raisons :
- Comme nous l’évoquions en introduction, il est essentiel aujourd’hui de pouvoir détenir des outils de détection précis afin de faire face aux cyberattaques de plus en plus sophistiquées et difficiles à détecter, notamment lorsque ces dernières viennent de l’intérieur[5]. Un employé avec un comportement suspect pourrait par exemple accéder à des fichiers auxquels il n’a pas accès habituellement ou pourrait faire des copies de fichiers généralement peu actifs afin de les exploiter dans une optique lucrative (chantage économique, espionnage industriel) ; les modifier en rajoutant une clause ; les diffuser afin d’impacter directement les activités de l’entreprise ou bien son image. Un large éventail d’action est donc à sa disposition !
Dans le cadre d’une approche UEBA, la forte dimension automatique et le recours au Machine Learning permettent de s’appuyer sur des schémas comportementaux complexes via l’analyse contextuelle d’une grande quantité de données brutes qu’un analyste humain n’aurait pas forcément pris en compte. Il est alors possible de modéliser un plus grand nombre de comportements, en les comparant à des groupes de pairs et par conséquent de lutter contre un registre de cyberattaques plus important et plus pointu. Par exemple, l’UEBA permet notamment de lutter contre l’exploitation de comptes à privilèges, l’escalade de privilèges, ou encore l’exfiltration de données.
- Cette analyse plus nuancée et précise permet également d’optimiser l’ensemble des ressources IT mises à disposition au sein d’une organisation. En effet, la détection automatisée permet dans une certaine mesure de faire face à la pénurie d’analystes expérimentées en cybersécurité en maintenant les profils émérites sur des tâches analytiques plus urgentes. Par exemple, les équipes pourront se concentrer plus efficacement sur de la détection des activitébien sur des activités de réponses aux menaces, puisqu’elles auront plus de temps à leur disposition. C’est tout l’avantage de l’UEBA.De par son analyse précise des comportements des individus, l’UEBA contribue également à réduire considérablement les faux positifs, qui impactent de plus en plus les équipes de sécurité dans un contexte d’attaques en forte hausse. Par exemple, l’UEBA fera la différence entre le comportement d’un employé et celui d’un administrateur et évitera ainsi le déclenchement de fausses alertes. En réduisant ces fausses alertes quotidiennes, l’UEBA restitue plus de disponibilité opérationnelle, et de fluidité aux équipes d’analystes SOC/CERT/MSSP, au profit de tâches plus complexes, critiques et à plus forte valeur ajoutée[6].
- Un autre atout de l’UEBA consiste en la rapidité de l’analyse et de l’alerte, dans un contexte où chaque minute compte dans le cadre d’une attaque. En effet, le plus longtemps un attaquant a accès à un réseau, plus il pourra exfiltrer des données par exemple. Il est donc essentiel que le temps de réponse moyen (MTTR) soit amplement réduit.
- D’un point de vue technique, l’UEBA a enfin pour avantage de ne pas interférer avec le trafic réseau légitime et les comportements habituels des utilisateurs. Il ne perturbe ainsi pas le bon fonctionnement des activités.
L’outil UEBA met donc en avant de nombreux bénéfices. Il permet notamment d’avoir un niveau de supervision et de connaissance de la menace en continu, et permet à terme de réduire le coût au risque de cyberattaques.
Toutefois, cela est envisageable sous certaines conditions afin qu’il soit vraiment efficace.
Les conditions nécessaires pour un usage optimal
Avant d’implémenter une solution UEBA, un RSSI doit tout d’abord avoir en tête l’ampleur, la structuration de son réseau et les données qu’il a en sa possession.
En effet, bien avant même que l’outil produise de l’analyse, il est nécessaire qu’un comportement préexiste. Pour cela, chaque organisation/entreprise se doit d’identifier l’ensemble des éléments présents sur son réseau et de disposer d’un réseau sain. S’il est compromis, alors il n’y a plus d’utilité puisque le Machine Learning établira une baseline prenant en compte les comportements de l’acteur malveillant comme trafic légitime.
L’identification est une étape décisive que l’on retrouve dans de nombreux référentiels de sécurité, tels que le NIST ou la norme ISO 27000, véritable livre de chevet du RSSI, qui pourra se baser sur le NDR pour y parvenir. Une fois cet inventaire effectué, une certaine typologie de comportement pourra être établie par rapport au fonctionnement habituel du réseau.
Une condition corollaire à cette dernière est notamment le fait de disposer de données de qualité afin de pouvoir réaliser cette analyse comportementale.
Pour une mise en place optimale, il est également essentiel de définir clairement les cas d’usages, lesquels sont prioritaires par exemple, et décrire les résultats désirés pour chacun. L’analyse n’en sera que plus perfectionnée et adaptée. Détection d’abus de comptes privilégiés, compromission des informations d’identification ou de menaces internes, la palette d’intervention de cet outil est large et également précise à condition de définir ses sources de données, et les comportements des données collectées. En effet, plus un système UEBA peut gérer des types de données différentes, plus la donnée de base sera précise.
Avec ces données régulièrement mises à jour, et leurs comportements définis sur une période de référence définie, la compréhension et détection des faux positifs sera plus facile.
Dans un contexte de multiplication et de perfectionnement des cyberattaques, l’UEBA semble donc être un outil à forte valeur ajoutée de par la collecte de données, l’analyse comportementale et contextuelle, l’alerte qu’il apporte quant à des phénomènes inhabituels relevés sur le réseau. Bien que certaines conditions soient à respecter pour utiliser tous les avantages de cet outil, son recours doit être envisagé de plus près par les RSSI.
Auteur : Pierre Guiho – Product Manager
Ressources
[1] Plus de 8 entreprises sur 10 ont prévu d’acquérir de nouvelles solutions de protection
[2] 8ème édition du baromètre annuel du CESIN
[3] Non humaines – appareils, applications, serveurs
[4] Référentiel de comportement pour chaque profil
[5] Barnabé Watin-Augouard. « La prévention, un impératif pour lutter efficacement contre les cybermenaces. » Revue de la Gendarmerie Nationale. Juin 2022. P17-23.