Qu’est-ce que l’analyse du comportement des utilisateurs (UBA) ?

Les outils d’UBA peuvent détecter les utilisateurs qui font des choses inhabituelles, comme se connecter avec une nouvelle adresse IP ou consulter des données sensibles avec lesquelles ils n’ont pas l’habitude de travailler.

Ces anomalies mineures ne déclenchent pas forcément d’autres outils de surveillance réseau. Cependant, l’UBA peut déterminer que cette activité est anormale pour tel ou tel utilisateur et alerter l’équipe de sécurité.

Parce qu’ils peuvent détecter des comportements qui ne sont suspects que par quelques aspects subtils, les outils d’UBA peuvent aider les centres d’opérations de sécurité (SOC) à repérer des attaques discrètes telles que les menaces internes, les menaces persistantes avancées et les pirates qui utilisent des identifiants volés.

Cette capacité est importante pour les SOC d’aujourd’hui. Selon l’IBM® X-Force Threat Intelligence Index, l’utilisation abusive de comptes valides est le moyen le plus courant pour les cybercriminels de s’introduire dans les réseaux.

Les outils et les techniques d’UBA sont utilisés dans divers domaines. Par exemple, les spécialistes du marketing et les concepteurs de produits suivent souvent les données comportementales des utilisateurs pour comprendre comment les gens interagissent avec les applications et les sites web. Cependant, dans le domaine de la cybersécurité, l’UBA est principalement utilisée pour la détection des menaces.

Définie pour la première fois par le cabinet d’analystes Gartner en 2015, l’analyse du comportement des utilisateurs et des entités (« user and entity behavior analytics » ou UEBA) est une catégorie d’outils de sécurité qui a été développée à partir de l’UBA.

Comme l’UBA, les outils d’UEBA surveillent l’activité du réseau, établissent des bases de référence pour les comportements normaux et détectent les écarts par rapport à ces normes. La principale différence est que l’UBA suit uniquement les utilisateurs humains, tandis que les systèmes UEBA suivent également l’activité et les indicateurs d’entités non humaines comme les applications et les appareils.

La question de savoir si ces termes sont interchangeables fait toujours l’objet de débats. Certaines entreprises, comme IDC, soutiennent qu’il s’agit de technologies distinctes.¹ D’autre part, Anton Chuvakin, ancien analyste de Gartner, a déclaré qu’il considérait l’UBA et l’UEBA comme étant à peu près synonymes.

Quoi qu’il en soit, l’orientation utilisateurs est ce qui distingue l’UBA et l’UEBA d’outils de sécurité similaires, comme la gestion des informations et des événements de sécurité (SIEM) ou la détection et réponse des terminaux (EDR). Ces outils permettent aux équipes de sécurité de comprendre et d’analyser l’activité du système au niveau de l’utilisateur individuel. Le suivi d’entités non humaines peut ajouter un certain contexte, mais ce n’est pas nécessairement l’objectif principal de ces outils.

Pour citer M. Chuvakin : « U » comme « utilisateur » est le principal, ajouter un « E » pour « entité » est accessoire.

Les outils d’analyse du comportement des utilisateurs collectent en continu des données sur les utilisateurs à partir de sources du réseau, qu’ils utilisent pour créer et affiner des modèles de référence du comportement des utilisateurs. Les outils comparent l’activité des utilisateurs par rapport à ces bases de référence en temps réel. Lorsqu’ils détectent un comportement anormal qui présente un risque important, ils alertent les parties prenantes concernées.

Les outils d’UBA collectent des données sur les attributs des utilisateurs (par exemple : rôles, autorisations, emplacement) et les activités des utilisateurs (par exemple : modifications qu’ils apportent à un fichier, sites qu’ils visitent, données qu’ils déplacent). Les UBA peuvent recueillir ces informations à partir de diverses sources de données, notamment :

• Répertoires d’utilisateurs, tels que Microsoft Active Directory
   

• Journaux de trafic réseau provenant de systèmes de détection et de prévention des intrusions (« intrusion detection and prevention systems » ou IDPS), de routeurs, de VPN et d’autres infrastructures
   

• Données d’activité des utilisateurs provenant d’applications, de fichiers, de points de terminaison et de bases de données
   

• Données de connexion et d’authentification provenant des systèmes de gestion des identités et des accès
   

• Données d’événements provenant de systèmes SIEM ou EDR et d’autres outils de sécurité

Les outils d’UBA utilisent l’analyse de données pour transformer les données des utilisateurs en modèles de référence de l’activité normale.

Les outils d’UBA peuvent utiliser des méthodes d’analyse basiques telles que la modélisation statistique et la recherche de modèles. Beaucoup utilisent également des analyses avancées, comme l’intelligence artificielle (IA) et le machine learning (ML).

L’IA et le ML permettent aux outils d’UBA d’analyser des ensembles de données massives pour créer des modèles de comportement plus précis. Les algorithmes de machine learning peuvent également affiner ces modèles au fil du temps afin qu’ils évoluent en même temps que les opérations métier et les rôles des utilisateurs.

Les outils d’UBA permettent de créer des modèles de comportement pour les utilisateurs individuels et pour les groupes d’utilisateurs.

Pour un utilisateur donné, le modèle peut prendre en compte des éléments tels que l’endroit où l’utilisateur se connecte et le temps moyen qu’il passe dans les différentes applications.

Pour les groupes d’utilisateurs (par exemple tous les utilisateurs d’un service), le modèle peut tenir compte d’éléments tels que les bases de données auxquelles ces utilisateurs accèdent et les autres utilisateurs avec lesquels ils interagissent.

Un utilisateur peut avoir plusieurs comptes d’utilisateur pour les différentes applications et services qu’il utilise au cours d’un jour de travail. De nombreux outils d’UBA peuvent apprendre à combiner l’activité de ces comptes sous une seule identité utilisateur unifiée.

En combinant l’activité des comptes, les équipes de sécurité peuvent détecter les modèles de comportement, même lorsque l’activité des utilisateurs est répartie sur des parties disparates du réseau.

Après avoir créé des modèles de référence, les outils d’UBA surveillent les utilisateurs et comparent leur comportement à ces modèles. Lorsqu’ils détectent des écarts susceptibles d’indiquer des menaces potentielles, ils alertent l’équipe de sécurité.

Les outils d’UBA peuvent détecter les anomalies de différentes manières, et nombre d’entre eux utilisent une combinaison de méthodes de détection.

Certains outils d’UBA utilisent des systèmes basés sur des règles dans lesquels les équipes de sécurité définissent manuellement les situations qui doivent déclencher des alertes, par exemple des utilisateurs qui tentent d’accéder aux actifs en dehors de leurs niveaux d’autorisation.

De nombreux outils d’UBA utilisent également des algorithmes d’IA et de ML pour analyser le comportement des utilisateurs et détecter des anomalies. Grâce à l’IA et au ML, l’UBA est en mesure de détecter les écarts par rapport au comportement historique des utilisateurs.

Par exemple, si un utilisateur s’est connecté à une application uniquement pendant ses heures de travail et qu’il se connecte désormais les soirs et les week-ends, cela peut indiquer un compte compromis.

Les outils d’UBA peuvent également utiliser l’IA et le ML pour comparer les utilisateurs à leurs pairs et détecter ainsi des anomalies.

Par exemple, il y a peu de chances qu’un membre du service marketing ait besoin d’extraire les informations de carte de crédit de ses clients. Si un utilisateur qui s’occupe de marketing tente d’accéder à ces enregistrements, cela peut indiquer une tentative d’exfiltration de données.

Outre l’entraînement des algorithmes d’IA et de ML sur les comportements des utilisateurs, les entreprises peuvent utiliser des flux de renseignements sur les menaces pour apprendre aux outils d’UBA à repérer les indicateurs connus d’activité malveillante.

Les outils d’UBA ne déclenchent pas une alerte chaque fois qu’un utilisateur fait quelque chose qui sort de l’ordinaire, car les gens ont souvent des raisons légitimes d’adopter un comportement qui peut être considéré comme anormal par des machines. Par exemple, en travaillant pour la première fois avec un nouveau fournisseur, un utilisateur peut partager des données avec une personne jusque-là inconnue.

Au lieu de signaler des événements individuels, de nombreux outils d’UBA attribuent à chaque utilisateur un score de risque. Chaque fois qu’un utilisateur fait quelque chose d’inhabituel, son score de risque augmente. Plus l’anomalie présente un risque élevé, plus forte sera l’augmentation. Lorsque le score de risque de l’utilisateur dépasse un certain seuil, l’outil d’UBA alerte l’équipe de sécurité.

De cette façon, l’outil d’UBA ne submerge pas l’équipe de sécurité d’anomalies sans importance. Cependant, il reste capable de détecter un modèle d’anomalies régulières dans l’activité d’un utilisateur, ce qui est plus susceptible d’indiquer une cybermenace. Une seule anomalie importante peut également déclencher une alerte si elle présente un risque suffisamment élevé.

Lorsque le score de risque d’un utilisateur est suffisamment élevé, l’outil d’UBA alerte le SOC, l’équipe de réponse aux incidents et/ou d’autres parties prenantes.

Certains outils d’UBA disposent de tableaux de bord dédiés où les équipes de sécurité peuvent surveiller l’activité des utilisateurs, suivre les scores de risque et recevoir des alertes. De nombreux outils d’UBA peuvent également envoyer des alertes aux systèmes SIEM ou à d’autres outils de sécurité.

Bien que les outils d’UBA n’aient généralement pas la capacité de répondre directement aux menaces, ils peuvent s’intégrer à d’autres outils qui le font.

Par exemple, certaines plateformes de gestion des identités et des accès (IAM) utilisent les données UBA pour l’authentification adaptative. Si le score de risque d’un utilisateur dépasse un certain seuil, par exemple parce qu’il se connecte à partir d’un nouvel appareil, le système IAM peut demander des facteurs d’authentification supplémentaires.

Parce qu’ils se concentrent sur l’activité des utilisateurs à l’intérieur du réseau, les outils d’UBA peuvent aider les équipes de sécurité à repérer les acteurs malveillants qui contournent leurs défenses de périmètre.

De plus, en suivant les modèles de comportement des utilisateurs à long terme, l’UBA peut détecter les traces quasi imperceptibles que laissent les cyberattaques les plus sophistiquées.

Les outils d’UBA peuvent générer des faux positifs et des faux négatifs dans certaines circonstances. Les organisations peuvent atténuer cette éventualité en utilisant des scores de risque et en entraînant les algorithmes d’IA et de ML sur les modèles uniques de leurs utilisateurs, mais il est possible que les risques ne soient pas entièrement éliminés.

Supposons qu’un utilisateur commence à transférer des quantités massives de données sensibles d’un cloud à un autre dans le cadre d’une migration planifiée. Le modèle de référence de l’UBA peut ne pas tenir compte de cette activité approuvée mais rare et, par conséquent, déclencher une alarme.

Les faux négatifs se produisent lorsqu’un outil d’UBA apprend à traiter les menaces potentielles comme un comportement acceptable. Ce problème peut survenir lorsque des anomalies se produisent de manière répétée sans être corrigées.

Prenons l’exemple d’un fournisseur qui met en avant les compétences de détection des menaces de son UBA en simulant des violations de données pour ses clients lors de démonstrations. L’outil UBA verra la même violation se produire de manière répétée. Un jour ou l’autre, l’outil pourrait déterminer que cette violation est un comportement normal, car elle se produit très régulièrement, et il cessera d’émettre des alertes à ce sujet.

Bien que certains fournisseurs proposent des solutions d’UBA autonomes, le marché s’oriente de plus en plus vers la fonctionnalité UBA en tant qu’intégration avec d’autres outils de sécurité ou en tant que complément à d’autres outils de sécurité. Plus précisément, les capacités d’UBA sont souvent intégrées aux plateformes SIEM, EDR et IAM.

Les SIEM regroupent les données d’événements de sécurité provenant d’outils de sécurité internes disparates dans un seul journal et analysent ces données pour détecter les activités inhabituelles. De nombreux systèmes SIEM incluent désormais des fonctionnalités d’UBA ou s’intègrent facilement aux outils d’UBA, qui peuvent aider les organisations à optimiser leurs données SIEM.

La combinaison des données sur le comportement des utilisateurs avec les données sur les événements de sécurité peut aider les organisations à repérer les menaces plus rapidement et à donner la priorité aux anomalies qui présentent le risque le plus élevé.

Les fonctionnalités d’UBA complètent les outils EDR en ajoutant des données sur le comportement des utilisateurs aux données sur l’activité des points de terminaison. Cela permet à l’équipe de sécurité de mieux comprendre ce que les utilisateurs font sur leurs terminaux, ce qui peut faciliter l’identification des modèles de comportement suspect sur tous les appareils.

Les organisations utilisent des outils d’IAM pour contrôler les ressources auxquelles les utilisateurs peuvent accéder. Comme mentionné précédemment, l’intégration des outils d’UBA aux systèmes d’IAM permet aux organisations de concevoir des processus d’authentification adaptatifs intelligents qui renforcent les exigences d’authentification à mesure que le score de risque d’un utilisateur augmente.