Geekflare
Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
By Marie Manzi in Active Directory  |  Dernière mise à jour : 18 septembre 2021
Partager sur:

Comprendre l'UEBA et son rôle dans la réponse aux incidents

Réponse aux incidents de l'UEBA
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Les failles de sécurité sont devenues de plus en plus courantes dans le monde numérique. L'UEBA aide les organisations à détecter et à répondre à ces incidents.

L'analyse du comportement des utilisateurs et des entités (UEBA) était auparavant connue sous le nom d'analyse du comportement des utilisateurs (UBA). Il s'agit d'une solution de cybersécurité qui utilise l'analyse pour comprendre comment les utilisateurs (humains) et les entités (appareils et serveurs en réseau) d'une organisation se comportent généralement pour détecter et répondre aux activités anormales en temps réel.

L'UEBA peut identifier et alerter les analystes de sécurité sur les variations à risque et les comportements suspects qui pourraient indiquer :

  • Mouvement latéral
  • Abus de compte privilégié
  • Elévation de privilèges
  • compromission des pouvoirs ou
  • Menaces internes

L'UEBA évalue également le niveau de menace et fournit un score de risque qui peut aider à établir une réponse appropriée.

Lisez la suite pour en savoir plus sur le fonctionnement de l'UEBA, pourquoi les organisations passent à l'UEBA, les principaux composants de l'UEBA, le rôle de l'UEBA dans la réponse aux incidents et les meilleures pratiques de l'UEBA.

How does User and Entity Behavior Analytics work?

L'analyse du comportement des utilisateurs et des entités collecte d'abord des informations sur le comportement attendu des personnes et des machines de votre organisation à partir de référentiels de données tels qu'un lac de données, un entrepôt de données ou via SIEM.

L'UEBA utilise ensuite des approches analytiques avancées pour traiter ces informations afin de déterminer et de définir plus en détail une base de modèles de comportement : d'où un employé se connecte, son niveau de privilège, les fichiers, les serveurs auxquels il accède souvent, l'heure et la fréquence d'accès et les appareils qu'il utilise pour accès.

L'UEBA surveille ensuite en permanence les activités des utilisateurs et des entités, les compare au comportement de base et décide quelles actions pourraient entraîner une attaque.

L'UEBA peut savoir quand un utilisateur vaque à ses activités normales et quand une attaque se produit. Bien qu'un pirate peut être en mesure d'accéder aux informations de connexion d'un employé, il ne pourra pas imiter ses activités et son comportement habituels.

Une solution UEBA comporte trois composants principaux :

Analyse des données: L'UEBA collecte et organise les données des utilisateurs et des entités pour créer un profil standard de la façon dont chaque utilisateur agit généralement. Des modèles statistiques sont ensuite formulés et appliqués pour détecter une activité anormale et alerter l'équipe de sécurité.

Intégration de données: Pour rendre le système plus résilient, l'UEBA compare les données obtenues à partir de diverses sources, telles que les journaux système, les données de capture de paquets et d'autres ensembles de données, avec les données collectées à partir des systèmes de sécurité existants.

Présentation des données: Processus par lequel le système UEBA communique ses conclusions et la réponse appropriée. Ce processus implique généralement l'émission d'une demande pour que les analystes de sécurité enquêtent sur un comportement inhabituel.

The role of UEBA in incident response

Utilisation de l'analyse du comportement des utilisateurs et des entités machine learning et un apprentissage approfondi pour surveiller et analyser le comportement habituel des humains et des machines dans votre organisation.

S'il y a un écart par rapport au modèle régulier, le système UEBA le détecte et effectue une analyse qui détermine si le comportement inhabituel constitue une menace réelle ou non.

UEBA ingère les données de différentes sources de journal telles qu'une base de données, Windows AD, VPN, proxy, badge, fichiers et points de terminaison pour effectuer cette analyse. En utilisant ces entrées et le comportement appris, l'UEBA peut fusionner les informations pour constituer un score final pour le classement des risques et envoyer un rapport détaillé aux analystes de sécurité.

Par exemple, l'UEBA peut observer un employé venant d'Afrique via un VPN pour la première fois. Ce n'est pas parce que le comportement de l'employé est anormal qu'il s'agit d'une menace ; l'utilisateur peut simplement voyager. Cependant, si le même employé du service des ressources humaines accède soudainement au sous-réseau financier, l'UEBA reconnaîtra les activités de l'employé comme suspectes et alertera l'équipe de sécurité.

Voici un autre scénario pertinent.

Harry, un employé de l'hôpital Mount Sinai à New York, a désespérément besoin d'argent. Ce jour-là, Harry attend que tout le monde quitte le bureau puis télécharge les informations sensibles des patients sur un périphérique USB à 7 heures. Il a l'intention de vendre les données volées sur le marché noir pour un dollar élevé.

Heureusement, l'hôpital Mount Sinai utilise une solution UEBA, qui surveille le comportement de chaque utilisateur et entité au sein du réseau hospitalier.

Bien qu'Harry soit autorisé à accéder aux informations sur les patients, le système UEBA augmente son score de risque lorsqu'il détecte un écart par rapport à ses activités habituelles, qui impliquent généralement la visualisation, la création et la modification des dossiers des patients entre 9 h 5 et XNUMX h XNUMX.

Lorsque Harry essaie d'accéder aux informations à 7 heures, le système identifie les irrégularités de schéma et de synchronisation et attribue un score de risque.

Vous pouvez configurer votre système UEBA pour simpliquent de créer une alerte pour que l'équipe de sécurité suggère une enquête plus approfondie, ou vous pouvez la configurer pour prendre des mesures immédiates, comme la fermeture automatique de la connectivité réseau pour cet employé en raison de la cyberattaque suspectée.

Do I need a UEBA solution?

Une solution UEBA est indispensable pour les organisations car les hackers mènent des attaques de plus en plus sophistiquées et de plus en plus difficiles à détecter. Cela est particulièrement vrai dans les cas où la menace vient de l'intérieur.

Selon des statistiques récentes sur la cybersécurité, plus de 34% des entreprises sont affectées par des menaces internes dans le monde. De plus, 85 % des entreprises déclarent qu'il est difficile de quantifier le coût réel d'une attaque d'initié.

En conséquence, les équipes de sécurité se tournent vers de nouvelles approches de détection et de réponse aux incidents (IR). Pour équilibrer et booster leur systèmes de sécurité, les analystes de sécurité fusionnent des technologies telles que l'analyse du comportement des utilisateurs et des entités (UEBA) avec les SIEM conventionnels et d'autres systèmes de prévention hérités.

UEBA vous fournit un système de détection des menaces internes plus puissant que les autres solutions de sécurité traditionnelles. Il surveille non seulement les comportements humains anormaux, mais aussi les mouvements latéraux suspects. L'UEBA suit également les activités sur vos services cloud, vos appareils mobiles et vos appareils Internet des objets.

Un système UEBA sophistiqué ingère les données de toutes les différentes sources de journaux et crée un rapport détaillé de l'attaque pour vos analystes de sécurité. Cela permet à votre équipe de sécurité d'économiser le temps passé à parcourir d'innombrables journaux pour déterminer les dommages réels dus à une attaque.

Voici quelques-uns des nombreux cas d'utilisation de l'UEBA.

Top 6 des cas d'utilisation de l'UEBA

#1. L'UEBA détecte les abus de privilèges d'initiés lorsque les utilisateurs effectuent des activités à risque en dehors du comportement normal établi.

# 2. L'UEBA fusionne les informations suspectes provenant de différentes sources pour créer un score de risque pour le classement des risques.

# 3. UEBA effectue la hiérarchisation des incidents en réduisant les faux positifs. Il élimine la fatigue des alertes et permet aux équipes de sécurité de se concentrer sur les alertes à haut risque.

# 4. L'UEBA empêche la perte et l'exfiltration de données car le système envoie des alertes lorsqu'il détecte des données sensibles déplacées à l'intérieur du réseau ou transférées hors du réseau.

#5. L'UEBA aide à détecter les mouvements latéraux des pirates au sein du réseau qui peuvent avoir volé les identifiants de connexion des employés.

# 6. L'UEBA fournit également des réponses automatisées aux incidents, permettant aux équipes de sécurité de répondre aux incidents de sécurité en temps réel.

Comment l'UEBA améliore UBA et les systèmes de sécurité existants comme SIEM

L'UEBA ne remplace pas les autres systèmes de sécurité mais représente une amélioration significative utilisée en parallèle d'autres solutions pour une cybersécurité plus efficace. L'UEBA diffère de l'analyse du comportement des utilisateurs (UBA) en ce que l'UEBA comprend des « entités » et des « événements » tels que des serveurs, des routeurs et des points de terminaison.

Une solution UEBA est plus complète qu'UBA car elle surveille les processus non humains et les entités machine pour identifier plus précisément les menaces.

SIEM est synonyme de gestion des informations et des événements de sécurité. Le SIEM traditionnel hérité peut ne pas être en mesure de détecter les menaces sophistiquées par lui-même, car il n'est pas conçu pour surveiller les menaces en temps réel. Et étant donné que les pirates évitent souvent de simples attaques ponctuelles et se lancent plutôt dans une chaîne d'attaques sophistiquées, ils peuvent passer inaperçus par les outils de détection des menaces traditionnels comme SIEM pendant des semaines, voire des mois.

Une solution UEBA sophistiquée résout cette limitation. Les systèmes UEBA analysent les données stockées par SIEM et travaillent ensemble pour surveiller les menaces en temps réel, vous permettant de répondre aux violations rapidement et sans effort.

Par conséquent, en fusionnant les outils UEBA et SIEM, les organisations peuvent être beaucoup plus efficaces pour la détection et l'analyse des menaces, résoudre rapidement les vulnérabilités et éviter les attaques.

User and Entity Behaviour Analytics best practices

Voici cinq bonnes pratiques pour l'analyse du comportement des utilisateurs qui donnent un aperçu des choses à faire lors de la création d'une base de référence pour le comportement des utilisateurs.

# 1. Définir les cas d'utilisation

Définissez les cas d'utilisation que vous souhaitez que votre solution UEBA identifie. Il peut s'agir de la détection d'abus de compte privilégié, de compromission des informations d'identification ou de menaces internes. La définition des cas d'utilisation vous aide à déterminer les données à collecter pour la surveillance.

# 2. Définir les sources de données

Plus vos systèmes UEBA peuvent gérer de types de données, plus la définition de base sera précise. Certaines sources de données incluent des journaux système ou des données de ressources humaines telles que l'historique des performances des employés.

# 3. Définir les comportements sur les données qui seront collectées

Cela peut inclure les heures de travail des employés, les applications et les appareils auxquels ils accèdent fréquemment et les rythmes de frappe. Avec ces données en place, vous pouvez mieux comprendre les raisons possibles des faux positifs.

# 4. Définir une durée pour établir la ligne de base

Lors de la détermination de la durée de votre période de référence, il est essentiel de prendre en compte les objectifs de sécurité de votre entreprise et les activités des utilisateurs.

La période de référence ne doit être ni trop courte ni trop longue. En effet, vous ne pourrez peut-être pas collecter les informations correctes si vous terminez la durée de référence trop rapidement, ce qui entraîne un taux élevé de faux positifs. D'un autre côté, certaines activités malveillantes peuvent être passées comme normales si vous prenez trop de temps pour collecter les informations de base.

# 5. Mettez régulièrement à jour vos données de base

Vous devrez peut-être reconstruire régulièrement vos données de référence, car les activités des utilisateurs et des entités changent tout le temps. Un employé peut être promu et modifier ses tâches et ses projets, son niveau de privilège et ses activités. Les systèmes UEBA peuvent être automatiquement configurés pour collecter des données et ajuster les données de base lorsque des changements se produisent.

Mot de la fin

Alors que nous devenons de plus en plus dépendants de la technologie, menaces de cybersécurité deviennent de plus en plus complexes. Une grande entreprise doit sécuriser ses systèmes qui contiennent ses propres données sensibles et celles de ses clients pour éviter les failles de sécurité à grande échelle. L'UEBA propose un système de réponse aux incidents en temps réel qui peut empêcher les attaques.

Merci à nos commanditaires
Plus de bonnes lectures sur la sécurité
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • invicti
    Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Données lumineuses
    Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Semrush
    Semrush est une solution de marketing numérique tout-en-un avec plus de 50 outils de référencement, de médias sociaux et de marketing de contenu.
    Essayez Semrush
  • Intruder
    Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder