Pour détecter les anomalies, l'UEBA commence par se renseigner sur le comportement attendu de tous les utilisateurs et entités d'un réseau et crée une base d'activités régulières pour chacun d'entre eux. Toute activité qui s'écarte de cette ligne de base est signalée comme une anomalie. Les solutions UEBA gagnent en efficacité au fur et à mesure qu'elles acquièrent de l'expérience.

Pourquoi avez-vous besoin d'une solution UEBA ?

Les menaces d'initiés désignent toute activité malveillante à laquelle les organisations sont confrontées en raison des actions d'utilisateurs ayant un accès légitime au réseau, aux bases de données et aux applications.

Plus de 34 % des entreprises dans le monde sont victimes de menaces internes chaque année.

Au cours des deux dernières années, le nombre d'incidents initiés a augmenté de 44 %.

Près de 66 % des organisations considèrent que les attaques d'initiés malveillants ou les brèches accidentelles sont plus probables que les attaques externes.

En 2022, le coût d'une menace d'initié s'élèvera à 15,38 millions de dollars.

 

Il est tout aussi important de protéger votre organisation contre les menaces internes que contre les menaces externes.

Une solution UEBA s'appuie sur la prévisibilité du comportement humain pour détecter et identifier les comportements anormaux des utilisateurs dans les machines et autres entités du réseau, ce qui peut indiquer une attaque d'initié. Les solutions UEBA s'adressent également aux routeurs, aux serveurs et aux terminaux du réseau. Outre un large éventail d'attaques d'initiés, une solution UEBA peut également vous aider à détecter les attaques DDoS, les attaques par force brute et l'exfiltration de données.

Comment fonctionne une solution UEBA

Suivre de près le comportement d'une personne peut en révéler beaucoup sur ses véritables intentions. C'est sur ce concept que travaille l'UEBA. L'UEBA surveille de près les activités de chaque utilisateur et entité au sein du réseau et apprend leurs caractéristiques. L'UEBA fonctionne souvent avec une solution SIEM en utilisant les journaux d'activité pour étudier le comportement habituel des utilisateurs et des entités.

   ueba solution

Une note de risque est calculée pour chaque utilisateur et chaque entité de l'organisation après avoir comparé leurs actions à leur base de référence d'activités régulières. La note de risque est généralement comprise entre zéro et 100, ce qui correspond respectivement à un risque nul et à un risque maximal. La note de risque dépend de facteurs tels que le poids attribué à l'action, l'ampleur de l'écart par rapport à la ligne de base, la fréquence de l'écart et le temps écoulé depuis l'écart.

Défendre contre les menaces internes, la compromission de comptes, l'exfiltration de données et les anomalies de connexion grâce à l'UEBA.

Voici quelques activités susceptibles d'augmenter le score de risque des utilisateurs ou des entités, indiquant d'éventuelles menaces internes, la compromission de comptes, l'exfiltration de données ou des anomalies de connexion.

Signes d'une menace interne

  • Accès nouveaux ou inhabituels au système
  • Temps d'accès inhabituels
  • Accès à des fichiers ou modifications de fichiers inhabituels
  • Échecs d'authentification excessifs

Signes de compromission d'un compte

  • Logiciel inhabituel exécuté par un utilisateur
  • Plusieurs instances de logiciels installées sur un hôte
  • Nombreux échecs de connexion sur un hôte

Signes d'exfiltration de données

  • Un nombre ou un type inhabituel de téléchargements de fichiers
  • Création de plusieurs disques amovibles par les utilisateurs
  • Commandes inhabituelles exécutées par les utilisateurs
  • Connexion anormale à l'hôte

Signes d'anomalies de connexion

  • Échecs multiples de connexion
  • Connexion réussie après plusieurs échecs de connexion
  • Tentatives de connexion à des heures inhabituelles
  • Tentatives de connexion à partir d'endroits inhabituels
  • Connexions ou tentatives de connexion non autorisées

UEBA
DERRIÈRE LES COULISSES

Il existe deux méthodes pour mettre en place un système UEBA :

ML supervisé

Dans la méthode ML supervisée, le système UEBA est alimenté par la liste des bons et mauvais comportements connus. Cette liste est limitée et peut donc ne pas contenir les connaissances nécessaires pour détecter les comportements anormaux. Le système développe ces données et détecte les comportements anormaux dans le réseau.

et

ML non supervisé

Dans la méthode de ML non supervisée, le système UEBA subit un "entraînement" pour apprendre le comportement normal de chaque utilisateur et entité. Cette méthode est incontestablement la meilleure car le système étudie de lui-même le comportement quotidien des utilisateurs et des entités.

  • Analyse robuste en composantes principales
  • Chaînes de Markov

Analyse robuste en composantes principales (RPCA)

L'analyse en composantes principales robustes, une variante de la technique d'analyse en composantes principales largement utilisée, est un modèle statistique qui utilise une transformation orthogonale pour convertir un ensemble d'observations de variables éventuellement corrélées (points de données) en variables linéairement non corrélées appelées composantes principales. La ligne de meilleure adéquation est établie pour l'ensemble des composantes principales, et les points de données qui s'écartent de cette ligne de meilleure adéquation sont qualifiés comme étant anormaux.

Chaînes de Markov

Une chaîne de Markov est une séquence d'événements stochastiques où la probabilité de l'événement suivant dans une chaîne dépend uniquement de l'état de l'événement actuel. Un flux d'événements est créé en déterminant l'état successif des occurrences des événements. Au fur et à mesure que chaque événement se produit, il est comparé à la séquence d'événements prévue. Si un événement s'écarte de la séquence prédite, il est considéré comme une anomalie et le score de risque de l'entité correspondante est augmenté.

Avantages d'une solution UEBA

  • Elle peut offrir une meilleure protection contre les exploits du " zero day " pour lesquels il n'existe pas encore de " signatures " connues.
  • Les activités de chaque utilisateur et de chaque entité sont comparées à leur ligne de base ou "moyenne" correspondante, ce qui réduit le nombre de faux positifs et de faux négatifs par rapport aux mécanismes d'alerte basés sur des règles.
  • Les solutions SIEM traditionnelles traitent les problèmes de sécurité comme des incidents isolés et envoient des alertes, alors que les solutions UEBA considèrent la sécurité de manière globale et calculent des scores de risque pour chaque utilisateur, ce qui réduit le nombre de fausses alertes.
  • Une solution UEBA peut détecter les mouvements latéraux malveillants à long terme plus efficacement que les solutions SIEM, et l'évaluation des risques permet de contrôler ces mouvements.
  • Les administrateurs informatiques ne sont pas obligés de développer des seuils ou des règles de corrélation pour identifier les menaces.
  • L'évaluation des risques permet aux experts en sécurité de se concentrer sur les alertes les plus crédibles et les plus dangereuses.

COMMENT CHOISIR UNE SOLUTION UEBA

Une solution UEBA efficace doit présenter les fonctionnalités suivantes :

   
Analyse des groupes de pairs

L'analyse des groupes de pairs est le processus par lequel vous regroupez les utilisateurs et les hôtes dans des groupes de pairs distincts sur la base de leur comportement passé. Si votre plateforme d'analyse de la sécurité adopte l'analyse des groupes de pairs, elle sera en mesure de déterminer si un utilisateur ou un hôte se comporte comme prévu en fonction des groupes auxquels il appartient. Si ce n'est pas le cas, le système déclenche une alerte d'anomalie. En plus de comparer le comportement d'un utilisateur ou d'un hôte à sa propre base de référence, l'analyse par groupe de pairs permet de réduire le nombre de faux positifs.

Des rapports opérationnels

Les données collectées doivent être consolidées efficacement dans des rapports faciles à consulter, et la génération de rapports opérationnels est une autre fonction essentielle d'une solution UEBA. L'examen régulier des rapports permet de repérer les fausses alertes au sein du réseau et donne des indications sur la manière d'adapter une solution UEBA pour qu'elle soit conforme aux normes de sécurité d'une organisation.

Modèles d'anomalies personnalisables

Tous les systèmes de détection d'anomalies proposent des modèles d'anomalies intégrés. Il s'agit d'algorithmes d'apprentissage automatique intégrés qui apprennent la ligne de base de l'activité attendue pour chaque utilisateur et hôte du réseau. Si la solution UEBA vous permet de former votre propre modèle d'anomalie, il s'agit d'un modèle d'anomalie personnalisable. Cela vous permet de mieux répondre à la situation spécifique de votre entreprise en matière de sécurité.

Alertes en temps réel

Les alertes vous permettent de recevoir des notifications sur les anomalies qui se produisent dans le réseau en temps réel. Par exemple, vous pouvez recevoir un e-mail de notification dès qu'une anomalie est identifiée. Grâce aux alertes en temps réel, vous n'aurez plus à vous connecter à votre solution UEBA pour vérifier les alertes en cas de nouveau risque auquel votre réseau est exposé.

Collecte et analyse des données :

Une solution UEBA doit collecter et analyser correctement les données des utilisateurs, des machines et des autres entités d'un réseau, comme les journaux d'événements et les données de capture de paquets. La surveillance et l'analyse continues des données provenant de différentes sources permettent de détecter facilement et instantanément les anomalies.

Évaluation précise des risques

La solution UEBA doit être en mesure d'attribuer un risque à chaque utilisateur et hôte du réseau afin de représenter le degré de risque posé par une entité. Le score de risque dépend de l'étendue et du type d'anomalies que l'utilisateur ou l'hôte déclenche.