Définition UEBA
En matière de cybersécurité, l’analyse permanente des activités dans les réseaux aide à détecter les intrusions malveillantes. Parmi les outils d’analyse, l’UEBA pour User and Entity Behaviour Analytics, est un précieux support. Son rôle consiste à analyser le comportement des utilisateurs (humain et appareils) pour identifier les risques et les menaces potentielles. Avec une collecte massive des données, l’outil sait alerter et mettre en place des mesures pour stopper l’anomalie.
UEBA : l’analyse avancée du comportement des utilisateurs et des entités
L’UEBA est un outil innovant en matière de cybersécurité. Anciennement appelé UBA, l’outil était à l’origine destiné à analyser le comportement des utilisateurs, c’est-à-dire les employés d’une entreprise par exemple. Le logiciel a évolué et intègre désormais la surveillance des entités, soit les endpoints (serveur, routeur, et l’ensemble des terminaux utilisés sur un réseau).
L’UEBA analyse en permanence le comportement des utilisateurs et des endpoints pour définir des modèles normaux d’utilisation. L’outil se base sur le Machine Learning et les algorithmes pour analyser et agréger les données. En cas de changement dans une habitude, d’une anomalie, l’UEBA alerte un administrateur. Si des taches automatiques ont été paramétrées, il peut intervenir en isolant l’appareil ou l’utilisateur du réseau.
Comment fonctionne l’UEBA en cybersécurité ?
L’UEBA est un logiciel qui, pour fonctionner correctement, nécessite d’être installé sur toutes les entités qu’il surveille. Il dispose d’une plateforme de gestion destinée aux administrateurs.
Une installation sur tous les appareils de tous les utilisateurs
L’implémentation d’une solution comme l’UEBA doit être complète pour s’avérer efficace. Elle doit donc être installée sur l’ensemble des endpoints du réseau surveillé et sur la totalité des appareils utilisés par les employés. Si ces derniers utilisent leur équipement personnel pour travailler (routeur, téléphone, ordinateur, etc.), alors ces appareils sont aussi concernés. L’objectif est de se prémunir d’une cyberattaque provenant d’un système faillible, qu’il soit professionnel ou particulier.
La collecte et l’agrégation des données : l’analyse des comportements
Après son installation, l’UEBA passe en mode apprentissage. Il analyse tous les comportements et collecte de multiples données. L’agrégation de toutes les informations aboutit à l’élaboration de « profil ». L’outil se base sur un modèle d’activité habituel pour détecter les anomalies. Par exemple, un serveur peut recevoir 500 requêtes par jour de manière récurrente. Quand le nombre de requêtes passe à plus d’un million, alors l’UEBA s’alerte. Il peut être en présence d’une attaque DDoS.
Pendant cette phase d’apprentissage, ce sont les algorithmes de l’outil qui détermine les comportements normaux. La durée de cette phase est configurée quant à elle par les administrateurs. L’UEBA passe alors en mode test, pour appliquer et améliorer ce qu’il vient d’apprendre.
La réaction de l’UEBA face à une détection d’anomalie dans un comportement
Le mode d’alerte de l’outil est décidé selon les organisations. Une simple notification peut être faite à l’utilisateur et aux administrateurs. Il revient alors aux équipes de cybersécurité d’intervenir pour stopper l’intrusion. D’autres systèmes fonctionnent avec l’automatisation de l’intervention de l’UEBA. L’outil intervient pour déconnecter l’utilisateur ou l’appareil du réseau.
Les avantages de l’UEBA pour la cybersécurité des entreprises
L’UEBA est une solution innovante dont l’objectif est de compléter les outils de sécurité traditionnels (pare-feu, VPN, dispositif de détection, etc.). L’enjeu, aujourd’hui, pour les équipes de sécurité est de faire face à des cyberattaques plus sophistiquées. Parmi les avantages de l’UEBA, citons par exemple :
- la compatibilité d’intégration avec d’autres outils de cybersécurité ;
- la capacité à détecter des attaques plus avancées ;
- sa capacité à remplacer des ressources humaines d’analyse grâce aux technologies de Machine Learning et d’IA ;
- la diminution des risques de cyberattaque
UEBA : un outil à utiliser dans une approche globale de cybersécurité
L’UEBA est un outil de sécurité qui peut être utilisé seul, ou avec les dispositifs de sécurité traditionnels cités ci-dessus. Cependant, dans une démarche globale de détection des intrusions, les équipes SI gagnent en performance en lui ajoutant des outils complémentaires.
SIEM : l’outil de gestion des informations et des outils de sécurité
Un SIEM est un outil de gestion répertoriant les évènements de sécurité des pare-feu, des logs des systèmes d’exploitation et du trafic réseau. Il apporte aux équipes une vue complète des systèmes de sécurité installés sur l’ensemble de leur réseau. Le SIEM et l’UEBA ont pour point commun d’analyser les comportements des utilisateurs. En matière de détection des attaques, l’UEBA se montre plus performant, notamment sur les intrusions innovantes.
Des solutions SIEM intègrent directement l’outil UEBA afin de lutter contre un panel plus large d’attaques, des plus traditionnels aux plus sophistiquées. Ces deux outils de cybersécurité s’avèrent extrêmement complémentaires. Ils offrent aux équipes une base intéressante pour détecter les anomalies.
Les outils de détection et réponse des terminaux (EDR)
Les outils de détection et réponse des terminaux (EDR) travaillent déjà à la détection d’anomalies sur les endpoints d’une entreprise. Ces dispositifs savent détecter et isoler un terminal du réseau. L’UEBA vient en complément avec l’analyse du comportement des utilisateurs de ces endpoints. Il aide à mieux comprendre pourquoi le endpoint est détourné de son utilisation habituelle. L’outil d’analyse assure un niveau d’alerte plus avancée que l’EDR.
IAM : gestion des identités et des accès
Un outil de gestion des identités et des accès (IAM) sert pour accorder aux utilisateurs un niveau d’accès aux données. Il surveille donc qu’un utilisateur est bien connecté aux informations auxquelles il a droit. En cas d’accès non autorisé, d’un appareil ou d’un utilisateur, l’outil alerte l’administrateur. L’UEBA ajoute une couche de sécurité supplémentaire en surveillant si les informations d’identification n’ont pas été volées. Il peut également détecter un usage abusif de privilèges dans les accès aux données.
Le rôle déterminant du Machine Learning et de l’IA dans les analyses de l’UEBA
Les solutions d’UEBA tiennent leur puissance d’analyse du Machine Learning et de l’Intelligence Artificielle. Ces deux technologies sont d’ailleurs essentielles à son bon fonctionnement.
Le pouvoir du Machine Learning sur les attaques les plus avancées
Le Machine Learning est en perpétuel apprentissage. Cette technologie offre une évolution régulière à tous les outils qu’elle intègre. Avec l’UEBA, le ML (machine learning) conçoit des modèles de comportement normaux au fil de ses analyses continues. Le Machine Learning apprend sans s’arrêter et puise ses connaissances parmi de nombreuses ressources. C’est ainsi que le ML sait s’adapter aux attaques émergentes et transmettre aux outils les nouvelles signatures de ces cyberattaques.
L’IA pour l’analyse d’une grande quantité de données
L’intelligence artificielle apporte à l’outil ses capacités d’analyse d’une multitude de données. L’automatisation de la surveillance et de la détection offre l’avantage de déceler une anomalie en temps réel. Elle donne plus de précision et peut croiser des données entre elles pour optimiser les modèles de comportements.
L’IA et le ML combinés sont capables également de prévenir les attaques futures, par le biais d’algorithmes prédictifs. Si un utilisateur multiplie les comportements à risques, alors l’UEBA sait anticiper un problème de sécurité avant qu’il ne se produise.
Les défis et perspectives d’avenir de l’UEBA
Aussi performant soit-il, l’UEBA rencontre quelques limites. C’est le cas notamment dans l’intégration d’une solution au sein de son infrastructure de sécurité. La configuration de l’outil peut s’avérer complexe dans les workflows ou l’incorporation des données. Il est alors nécessaire de disposer d’une certaine expertise pour paramétrer l’outil correctement afin d’en exploiter pleinement le potentiel.
L’ensemble de votre structure de sécurité en place doit pouvoir s’adapter à un outil comme l’UEBA. Si ce n’est pas le cas, vous devez procéder à de profonds changements pour intégrer cette nouvelle technologie. Là encore, il est nécessaire de confier cette implémentation à des experts, capables de relier les outils entre eux afin d’assurer une protection globale de vos systèmes.
L’avenir de l’UEBA et l’usage des technologies comme le ML et l’intelligence artificielle reposent sur son accessibilité. Il est important de le concevoir comme un outil performant à intégrer dans un plan global de sécurité. Ces nouveaux dispositifs émergents représentent l’avenir de la cybersécurité. Aux experts également de s’adapter à ces nouvelles technologies pour les utiliser avec efficacité. À la Cyber Management School, nos étudiants sont formés pendant leur cursus en cybersécurité à ces nouvelles approches.