Cet article fait partie de notre guide: L'analyse comportementale, nouvelle clé de la sécurité

Comment l’analyse comportementale aide à lutter contre les attaques

Ce guide sur les outils d’analyse comportementale vise à aider les professionnels de la sécurité IT à déterminer quelles fonctions rechercher avant réaliser un achat, et s’attache aux stratégies de déploiement ainsi qu’aux questions de performances.

En tant que professionnel de la sécurité de l’information, vous avez probablement déjà investi temps et argent pour chercher à comprendre ce qui se passe dans votre environnement. Vous avez déployé des outils de gestion des logs, de gestion des informations et des événements de sécurité (SIEM), voire même des systèmes de renseignement opérationnel sur les menaces. Mais répondre à la question suivante reste difficile : comment savoir que quelque chose qui survient dans votre environnement ne devrait pas se produire ?

C’est tout l’objet de l’analyse comportementale (UBA, User Behavior Analytics). De nombreux éditeurs émergent tels que Bay Dynamics, ClickSecurity, GuruCul, Fortscale et Securonix déploient des techniques de Big Data pour établir rapidement un profil d’activité normal d’un environnement donné et détecter ensuite les anomalies indiquant des attaques. D’autres, comme Lancope, Solera et Splunk étendent leurs offres pour fournir également de telles capacités.

Ce guide se penche sur ce qu’il est raisonnable d’attendre de ces outils analytiques et sur les stratégies de déploiement afférentes.

Comprendre l’analyse comportementale

La dernière édition de la RSA Conference a accordé une place importante à l’UBA. L’utilisation des technologies analytiques est désormais au premier plan des architectures de sécurité. Et il y a une très bonne raison à cela : elles doivent aider à résoudre le problème de l’aiguille dans la botte de foin auquel sont confrontés tous les RSSI. Les outils analytiques les aident à trouver une signification aux vastes volumes de données collectés par les SIEM, les IDS/IPS, les logs, etc.

Les outils d’UBA utilisent des capacités analytiques spécialisées qui se concentrent sur le comportement des systèmes et de leurs utilisateurs. L’analyse comportementale est initialement apparue dans le domaine du marketing, pour aider les entreprises à comprendre et à prédire le comportement des consommateurs. Mais l’UBA peut s’avérer remarquablement utile dans le domaine de la sécurité.

Comment fonctionne l’UBA

Les outils d’UBA assurent deux fonctions principales. Tout d’abord, ils déterminent des comportements normaux pour des activités spécifiques à l’organisation et à ses utilisateurs. Ensuite, les outils d’UBA détectent rapidement des déviations qui requièrent l’attention des RSSI : ils identifient les cas où un comportement anormal est en cours. Ce comportement peut trahir ou non un problème ; ce sera aux équipes de sécurité de le déterminer par leur enquête.

La distinction entre UBA et les autres formes d’outils analytiques de sécurité et que l’UBA se concentre sur les utilisateurs plutôt que sur les événements ou les alertes. Autrement dit, l’UBA répond à la question suivante : l’utilisateur se comporte-t-il de manière anormale ? La distinction est subtile, mais importante : un événement peut être bénin dans un contexte donné, mais grave dans un autre.

Que chercher dans un outil d’UBA ?

De plus en plus de fournisseurs commencent à revendiquer l’intégration de capacités d’UBA dans leurs produits. Mais il n’y a qu’un petit nombre – quoiqu’en croissance – de véritables fournisseurs de solutions d’UBA. Les produits de ces éditeurs fonctionnent grosso-modo de la même manière : un moteur analytique exploitant des algorithmes propriétaires est alimenté par des sources de données existantes et les examinent. Les outils affichent alors leurs découvertes dans un tableau de bord destiné à l’utilisateur. Le but est de fournir aux professionnels de la sécurité des informations immédiatement exploitables.

Pour l’heure, ces outils n’engagent pas eux-mêmes d’actions défensives : ils fournissent à leurs utilisateurs les renseignements nécessaires pour déterminer s’il est nécessaire d’agir ou non. Mais il est raisonnable d’anticiper, d’ici 6 à 24 mois, l’apparition d’outils intégrés avec les systèmes de défense des entreprises, comme les pare-feu, pour automatiser la réponse aux menaces.

Les algorithmes analytiques sont la potion magique de ces outils. Lors de leur évaluation, les RSSI devraient des détails sur leur fonctionnement. Mais il existe d’autres points de différenciation.

Et cela commence par les sources de données supportées par l’outil : formats (CSV, Excel, etc.) et les types de fichiers logs. Il convient là d’interroger sur les capacités natives d’intégration et les possibilités de personnalisation. Le tout en fonction de sa propre infrastructure existante.

Le délai d’établissement des profils comportementaux de base, et son degré d’automatisation, sont également importants. Certains outils déterminent ces profils à partir de seulement quelques jours de données historiques, d’autres préfèrent en utiliser plusieurs semaines, voire mois. Plus l’historique est important, plus les profils comportementaux tendant à être prévis, parce qu’ils tiennent comptes de la variabilité saisonnière des activités.

Le délai de production de résultats se rapportent à la rapidité avec laquelle des résultats exploitables concrètement sont produits après l’intégration initiale. Mais attention : cet indicateur n’est pas aussi évident qu’il peut le paraître : une définition claire des « résultats » est nécessaire. Une bonne définition en est la fourniture d’informations inconnues au préalable.

La flexibilité du tableau de bord est également à prendre en compte. Celui-ci est-il par exemple conçu exclusivement pour des spécialistes de la sécurité ? Ou supporte-t-il des personnalisations permettant d’étendre son audience à des responsables métiers ?

Se pose enfin la question du déploiement, sur site ou en mode Cloud. Dans ce dernier cas, fortement appelé à se développer, se pose la question de la sécurité des données transmises à l’outil d’UBA.

Des données enfin mises à profit

Collecter les données n’est pas suffisant. Il est nécessaire d’investir dans des outils qui permette de trouver des informations et du sens dans ces données, capables de trouver ces indicateurs critiques d’une potentielle compromission : ces aiguilles dans la botte de foin. Les outils d’UBA peuvent fournir très tôt des indications sur des comportements suspects, d’utilisateurs, de systèmes et d’appareils. De quoi orienter les professionnels de la sécurité de manière précieuse.

Adapté de l’anglais.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close