Les outils d’analyse comportementale, plus communément appelés UBA pour « User Behavior Analytics », ou encore UEBA « User and Entity Behavior Analytics », ont fait irruption depuis quelques années dans les entreprises. Sont-ils la prochaine clé de voute de la détection des signaux faibles ? D’une compromission dès qu’elle est survenue ? Le rêve de tout analyste sécurité est-il enfin à portée de main des RSSI ? C’est ce que nous allons tenter d’établir à travers cet article.

Comme nous avons pu le voir à travers l’article « SIEM : Une vue unique sur le système d’information » de Saad, le SIEM permet la corrélation des événements à l’aide de recherches automatisées combinant les événements et les informations sur les différents actifs.

Cependant, cette méthode présente plusieurs limites :

  • Les ressources pour écrire de bonnes règles de corrélation, les régler, les affiner et les adapter aux besoins changeants.
  • L’absence de capacité à intégrer certains types de données contextuelles utiles (comme les rôles IAM et les droits des utilisateurs, ainsi que les données d’actifs plus approfondies)
  • La capacité à intégrer dans les règles les mouvements latéraux de l’attaquant, l’utilisation d’identifiants volés/déchiffrés, la préparation des données exfiltrées, la création de backdoors, etc.
  • La nécessité de comprendre une multitude de cas de surveillance propre à une entreprise.

C’est ainsi qu’après quelques années de frustration sont nés…les UBA.

Parmi les solutions d’UBA ont en distingue deux types. Les « SIEM add-ons » (qui s’appuient sur le SIEM pour la collecte, la normalisation et le stockage) et ceux livrés sous forme d’appliance collectant eux-mêmes les données. Certains UBA sont également capables de s’associer à des solutions de DLP (« Data Leak Prevention »).

 

Qu’est-ce que l’analyse comportementale ?

 

Le SIEM a traditionnellement mis l’accent sur l’analyse des événements capturés dans les pare-feu, le système d’exploitation et d’autres journaux du système afin de repérer des corrélations intéressantes, généralement par des règles prédéfinies.

Cependant, en se concentrant sur les systèmes périmétriques et les logs OS au lieu des données elles-mêmes, il est facile de manquer des évènements comme des employés qui abusent de leur accès ou encore certaines activités de pirates. En effet, les pirates sont devenus très bons pour apparaître comme des utilisateurs ordinaires une fois qu’ils sont « à l’intérieur » du système d’information. C’est là que l’UBA entre en jeu.

L’analyse comportementale consiste à rechercher des modèles d’utilisation qui indiquent un comportement inhabituel ou anormal. Ainsi, l’UBA rassemble toutes les données provenant du SIEM, des IDS/IPS, des logs système et autres outils quelle que soit la provenance des activités (un pirate, un utilisateur légitime ou même un logiciel malveillant ou d’autres processus).

De ce fait, en se focalisant moins sur les événements du système et plus sur les activités spécifiques des utilisateurs, l’UBA peut apprendre les modèles comportementaux des utilisateurs et ensuite lever des alertes lorsque les comportements des pirates diffèrent des utilisateurs légitimes.

En résumé, l’UBA n’empêchera pas les pirates informatiques ou les initiés d’entrer dans votre système d’information mais ils peuvent rapidement repérer leur travail et minimiser les dégâts.

 

L’intérêt d’un UBA

 

La plupart des intrusions se font par des ports publics légitimes (courrier électronique, site Web, connexion) et aboutissent ensuite à un accès en tant qu’utilisateur(s).

Une fois entrés, les pirates sont devenus habiles à utiliser des logiciels malveillants qui ne sont pas repérés par un logiciel antivirus. Parfois, ils utilisent même des outils d’administration système légitimes pour mener leurs méfaits.

Ainsi, du point de vue d’un administrateur informatique qui surveille simplement l’activité de son système (en examinant les applications utilisées, les noms de connexion, etc.) les attaquants apparaissent comme des utilisateurs tout à fait légitimes.

L’intérêt d’un UBA est donc de détecter tous ces types de comportements.

 

J’ai déjà un SIEM, ai-je besoin d’un UBA ?

 

Avec le SIEM vous avez un équipement capable d’analyser les données d’événements de sécurité produites par les dispositifs de sécurité, les infrastructures de réseau, les systèmes et les applications. Avant d’investir dans un UBA, évaluez ses capacités de profilage et de détection d’anomalie pour déterminer s’ils peuvent être adaptés pour satisfaire vos cas pratiques.

Dans tous les cas, si vous souhaitez avoir une idée approfondie de ce que font les utilisateurs sur un système, telle que leurs activités et leurs modes d’accès aux fichiers vous aurez besoin d’un UBA.

Par ailleurs, vous trouverez ci-dessous une liste de cas pratique du SIEM démontrant la complémentarité avec les UBA :

 

 

En conclusion

 

Nous avons vu que le SIEM permet de combiner les événements et les informations sur les différents actifs afin de détecter des comportements connus à l’aide de règles sans cesse affinées et adaptées aux besoins changeant.

L’UBA quant à lui permet de détecter les comportements malveillants moins évidents, comme le vol de comptes/identités d’utilisateurs légitimes ou une activité à plus long terme à travers des modèles de comportement anormal.

L’UBA est donc un excellent complément au SIEM.

 

Sources

http://blogs.gartner.com/

https://blog.varonis.com/

 

Grégoire

Consultant Sécurité