La cybersécurité devient de plus en plus importante pour les entreprises de toutes tailles. Il est maintenant courant, même pour les petites entreprises, d'utiliser une large gamme d'outils tels que les informations de sécurité, la gestion des événements, les pare-feu et les VPN pour se prémunir contre les intrusions indésirables.
Les pirates, cependant, deviennent de plus en plus sophistiqués. Leur succès dépend de leur capacité à lancer des attaques non détectées par ces outils. Ils y parviennent souvent. Une solution potentielle pour empêcher les pirates d'accéder est connue sous le nom d'analyse du comportement des utilisateurs et des entités (UEBA). Vérifier Qu'est-ce qu'une plate-forme de protection de charge de travail cloud ?
Alors, qu'est-ce que l'analyse du comportement des utilisateurs et des entités (UEBA) et doit-elle être utilisée sur votre lieu de travail ? Découvrons ci-dessous.
Qu'est-ce que l'analyse du comportement des utilisateurs et des entités (UEBA) ?
UEBA est une solution de cybersécurité qui utilise de grands ensembles de données pour modéliser l'activité du réseau. Il analyse à la fois les utilisateurs du réseau et le réseau lui-même, tels que les routeurs et les appareils IoT. Il recherche ensuite toute activité suspecte et alerte l'administrateur lorsqu'une telle activité est détectée.
Ceci est réalisé en établissant une ligne de base de ce à quoi ressemble une activité réseau normale. Il utilise ensuite l'apprentissage automatique pour détecter automatiquement les comportements anormaux.
C'est une solution populaire car de nombreux produits de cybersécurité sont principalement formés pour rechercher les logiciels malveillants. Les pirates peuvent vaincre ces applications en entrant dans un réseau et en n'installant aucun fichier malveillant.
Inversement, l'UEBA peut rechercher tout ce qui est anormal. Cela lui permet de détecter des attaques plus sophistiquées qui ne correspondent pas aux menaces connues. Par exemple, si un utilisateur spécifique télécharge régulièrement 10 Mo de fichiers chaque jour mais télécharge soudainement plus de 1 Go de fichiers, cette solution sera en mesure de détecter ce changement et d'alerter immédiatement l'administrateur. Vérifier Qu'est-ce qu'un virus de porte dérobée ? Comment se protéger des attaques par porte dérobée.
Comment fonctionne l'UEBA ?
Les solutions UEBA ont généralement trois composants principaux : Analytics, Integration et Demo. Voyons-le brièvement :
Analyse
UEBA analyse le comportement de tous les utilisateurs et appareils du réseau. Cela crée une ligne de base qui montre à quoi ressemble le réseau lorsqu'aucune attaque ne se produit. Des modèles statistiques sont ensuite utilisés pour déterminer quand un utilisateur ou un appareil se comporte d'une manière qu'il ne devrait pas.
L'intégration
Les solutions UEBA sont généralement conçues pour s'intégrer à d'autres applications de sécurité. Votre entreprise suit probablement déjà le comportement du réseau et votre produit UEBA devrait pouvoir collecter automatiquement les données de ces produits.
démos
L'UEBA ne prend généralement pas de mesures contre les menaces. Au lieu de cela, il est conçu pour présenter ses données aux administrateurs informatiques pour une enquête plus approfondie. Cela peut être aussi simple que d'envoyer une alerte. Mais de nombreux produits UEBA produisent également des graphiques et d'autres données statistiques que les employés peuvent utiliser pour des analyses supplémentaires. Vérifier Qu'est-ce que la Threat Intelligence et comment fonctionne-t-elle ?
De quoi l'UEBA protège-t-elle ?
UEBA peut protéger contre diverses menaces que d'autres produits de sécurité peuvent ne pas fournir. Voyons quoi ?
Menaces internes
Les applications de sécurité ont souvent du mal à détecter les menaces internes. Bien que SIEM puisse facilement détecter une intrusion dans le réseau, il se peut qu'il ne détecte pas qu'une personne au sein d'un réseau fait réellement quelque chose qu'elle n'est pas censée faire. Un UEBA correctement configuré comprendra comment les utilisateurs se comportent normalement et devrait générer une alerte si l'utilisateur commence à faire autre chose.
Comptes utilisateurs piratés
Si l'utilisateur se comporte de manière anormale, cela n'est pas toujours causé par une menace venant de l'intérieur. Cela pourrait également signifier qu'un pirate informatique a volé les détails du compte de l'utilisateur. Les employés des entreprises sont régulièrement ciblés par le phishing, les comptes d'utilisateurs piratés sont donc monnaie courante. UEBA peut détecter les comptes compromis dès que l'attaquant commence à faire quelque chose qui sort de l'ordinaire.
Escalade des pouvoirs administratifs
L'élévation des privilèges administratifs se produit lorsqu'un utilisateur se voit accorder des privilèges supplémentaires pour accéder à d'autres parties du réseau. C'est quelque chose dont un pirate informatique bénéficiera. UEBA peut être configuré pour détecter une augmentation des privilèges de l'utilisateur et envoyer une alerte d'investigation.
attaques par force brute
Les attaques par force brute impliquent des tentatives répétées d'accès aux comptes d'utilisateurs et aux réseaux. Comme il ne s'agit clairement pas d'un comportement normal, il peut être facilement détecté par l'UEBA. Dans ce scénario, UEBA peut émettre une alerte ou être configuré pour renvoyer automatiquement un attaquant.
Accès restreint aux informations
L'UEBA peut contrôler qui a accès aux informations confidentielles. Ainsi, il peut empêcher les violations de données en émettant une alerte lorsque l'utilisateur accède à quelque chose qui n'est pas obligatoire. Vérifier Tout ce que vous devez savoir sur l'intelligence open source (OSINT).
Comparaison entre UEBA et SIEM
Les outils de gestion des informations et des événements de sécurité sont similaires à UEBA mais pas tout à fait identiques. Les outils SIEM analysent également le réseau et génèrent des alertes lorsqu'une activité suspecte est détectée.
La différence est que les outils SIEM ne génèrent une alerte que lorsqu'un attaquant fait quelque chose de malveillant. Ainsi, si l'attaquant est prudent, il peut toujours entrer dans le réseau et éviter d'être détecté.
UEBA est conçu pour détecter les attaques, non pas à cause d'un comportement malveillant, mais à cause d'un comportement hors norme. Cela lui permet de détecter les attaques qui ne correspondent à aucune menace connue.
De nombreux outils SIEM incluent désormais UEBA pour cette raison, mais la majorité ne le fait pas. Vérifier Qu'est-ce que la gestion du mode de sécurité cloud et pourquoi est-ce important ?
Toutes les entreprises devraient-elles utiliser UEBA ?
Toutes les entreprises devraient envisager d'utiliser une solution UEBA, mais comme beaucoup de nouvelles solutions de cybersécurité, il est nécessaire de peser le pour et le contre avant de l'implémenter.
Les outils UEBA sont capables de détecter des menaces que SIEM ne peut pas détecter. Il est également capable de capturer les menaces que le personnel de sécurité pourrait manquer. Cette protection supplémentaire vaut souvent la peine d'investir, compte tenu des pertes subies après une cyberattaque réussie.
Les solutions UEBA offrent également une protection automatique. Cela peut permettre à l'entreprise d'avoir un service de cybersécurité plus petit et, à son tour, de réaliser des économies salariales importantes.
L'inconvénient de l'UEBA est qu'il est coûteux à mettre en œuvre. Le prix peut être hors budget pour de nombreuses petites entreprises sans être complètement nécessaire. La mise en œuvre d'une solution UEBA nécessitera également la formation du personnel à son utilisation, avec des coûts supplémentaires ajoutés.
De plus, les outils UEBA ne constituent pas une alternative viable aux autres produits de cybersécurité. Bien qu'un produit SIEM puisse inclure UEBA, UEBA ne remplace pas SIEM ou tout autre produit de sécurité que la société possède déjà. Vérifier Meilleurs outils de surveillance de réseau open source pour Windows et Linux.
UEBA offre une protection supérieure
Les produits UEBA offrent une amélioration significative par rapport aux produits SIEM standard et sont capables d'identifier les menaces qui pourraient autrement ne pas être détectées. Alors que SIEM est souvent aux prises avec des menaces internes, UEBA peut détecter automatiquement une activité réseau inhabituelle par des utilisateurs autorisés.
Que l'UEBA convienne ou non à votre entreprise dépend de votre budget de cybersécurité. Bien que l'UEBA soit supérieur, le coût élevé de l'installation et le fait qu'il ne remplace pas d'autres produits constituent un inconvénient évident. Vous pouvez désormais visualiser Qu'est-ce qu'un courtier en sécurité d'accès au cloud ?
