Analyse comportementale : dépasser la vulnérabilité de l’humain

Comment savent-elles qui fait quoi ? Les nouvelles technologies comportementales utilisent les sciences des données pour superviser l’activité des utilisateurs sur le réseau.

Un coup de tonnerre. C’est ce qu’à provoqué Edward Snowden auprès des RSSI, les poussant à consacrer plus de temps à la supervision des utilisateurs à privilèges.

Et si les réglementations se font de plus en plus strictes en matière de protection des données personnelles et sensible, la menace interne apparaît bien comme l’une des premières motivations pour appliquer l’analyse comportementale (UBA, ou User Behavior Analytics) au domaine de la sécurité et du suivi des données et activités des utilisateurs, de manière plus légère que les technologies antérieures. Quelles sont donc les différences entre l’analytique de sécurité et ces outils ? Les technologies basées sur l’identité se concentrent en priorité sur les individus, surveillant leurs interactions et construisant des profils typiques à comparer avec des comportements passés et ceux de leurs pairs. La plupart de ces plateformes sont conçues pour suivre tous les utilisateurs, et pas seulement ceux à risque.

Mais qu’il s’agisse de vol de données sensibles ou de propriété intellectuelle, ou encore de perte involontaire de données du fait d’utilisateurs bien intentionnés victimes d’ingénierie sociale, surveiller les comportements utilisateurs à risque restent une priorité pour les RSSI.

De fait, selon l’édition 2014 du sondage Wisegate, la menace interne est une préoccupation pour 59 % des RSSI, contre 55 % pour le phishing, ou encore 32 % pour le risque associé aux partenaires, derrière les logiciels malveillants à 45 %. Les professionnels de l’IT et de la sécurité qui ont été sondés ont également fait part d’inquiétudes quant à leur capacité à trouver les ressources humaines nécessaires pour lutter contre ces menaces.

La menace interne recouvre en fait un large éventail de menaces relatives aux employés, aux anciens employés, aux sous-traitants, et même aux partenaires susceptibles d’accéder aux réseaux et systèmes critiques. Tous ces acteurs sont entourés de préoccupations de sécurité et de fraude pour les entreprises et leurs RSSI, qu’il s’agisse de protéger le réseau contre les identifiants compromis ou de bloquer des utilisateurs prenant certains raccourcis par confort, avec Dropbox ou d’autres outils dans une pratique relevant du Shadow IT.

Suivre les individus

Les entreprises analysent leurs réseau, systèmes et comportements de trafic réseau depuis des années. Alors que l’analyse de sécurité gagne en popularité, certains outils s’appuient sur les entrepôts de logs centralisés pour ajouter des fonctionnalités conçues pour détecter les anomalies comportementales en temps réel – ou presque – en s’appuyant sur les données historiques. Cela demande pas mal de puissance de calcul pour les entreprises comptant de plus de 100 000 utilisateurs…

« Il a été difficile de comprendre le problème de l’utilisateur en lui-même », explique Barry Shteiman, un chercheur en sécurité qui a été nommé directeur d’Exabeam Labs en avril – il travaillait au préalable avec ses fondateurs chez Imperva. « Les entreprises ont suivi deux voies. L’une était d’enregistrer des logs – ‘si j’enregistre tout se qui passe, il y a forcément une trace de l’incident’. L’autre consistait à chercher des motifs d’attaques connues pour voir si l’attaquant tombait dans le piège ».

Exabeam Labs utilise les données des logs pour alimenter un moteur d’analyse mettant à profit de la Machine Learning et des algorithmes mathématiques avancés pour modéliser les comportements : « construisons plutôt des modèles qui apprennent eux-mêmes », résume Shteiman.

Annoncée en juin 2014, la plateforme d’Exabeam est déjà en production chez plusieurs clients, dont la chaîne de magasins Safeway. Ce logiciel à déploiement en local est conçu pour la surveillance de l’utilisateur et l’exploration de données par les équipes de sécurité. La jeune pousse a breveté sa technologie de suivi des sessions utilisateur qui offre une représentation chronologique des activités comparable à la timeline d’un Facebook.

Mais si l’approche d’Exabeam est nouvelle, les systèmes d’UBA sont là, sous diverses formes, depuis au moins une décennie. La plupart d’entre eux analysent les données des logs – réseau, systèmes, et authentification qui collectés et stockés par les SIEM – et dégagent des motifs pour développer des profils comportementaux individuels. L’outil génère ensuite une norme pour chaque employé de l’entreprise. Le comportement est surveillé en fonction de l’historique individuel de l’employé et de ses pairs.

Alors que le SIEM offre un certain niveau de surveillance de l’activité basée sur le contexte, les plateformes d’UBA offrent généralement des capacités d’établissement de profils et de surveillance des exceptions plus avancées, et indépendantes de définitions de règles et des droits dans les systèmes de gestion des identités et des accès (IAM).

« Tout dépend de ce que vous faites », explique Shteiman, qui assure qu’Exabeam « laisse les données parler pour elles-mêmes » : « il n’est pas nécessaire de régler ce qui est appris, contrairement à beaucoup de systèmes qui sont basés sur la logique ».

Mais Gartner prévient que chaque système d’UBA nécessite toutefois une certaine forme de réglage, même ceux avec des systèmes analytiques prédéfinis.

Adapté de l’anglais.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)

Close