Les organisations qui souhaitent ajouter des capacités avancées d'analyse ou d'apprentissage automatique à leur arsenal de sécurité informatique ont une solution relativement nouvelle à leur disposition: User and Entity Behavior Analytics (UEBA).
Les produits UEBA identifient les modèles dans le comportement utilisateur typique, puis détectent les actions anormales qui ne correspondent pas à ces modèles et peuvent présenter des problèmes de sécurité. De plus, les systèmes UEBA détectent les événements atypiques dans diverses entités (entités), notamment les postes de travail, les logiciels, le trafic réseau, le stockage, etc., etc.
Diverses méthodes d'analyse sont utilisées pour déterminer les écarts, y compris l'apprentissage automatique. Soit dit en passant, il existe également une classe de systèmes UBA qui, comme vous pouvez le deviner, analysent uniquement les informations associées aux utilisateurs et à leurs rôles. Les sources de données pour les systèmes UEBA sont les fichiers journaux des composants serveur et réseau, les systèmes de sécurité, les journaux locaux du PC final.
En règle générale, les solutions UEBA font leur travail après que d'autres outils de cyberdéfense n'ont pas réussi à identifier les menaces au sein du réseau.
Bien que les solutions UEBA soient apparues il n'y a pas si longtemps, elles sont rapidement devenues populaires auprès des grandes entreprises. Selon Gartner, les ventes de solutions spécialisées UEBA doublent chaque année. En outre, de nombreux fournisseurs incluent la fonctionnalité UEBA dans d'autres outils de sécurité tels que SIEM (informations de sécurité et gestion des événements), l'analyse du trafic réseau, le contrôle des identités et des accès (IAM), la protection ou la prévention des terminaux fuites de données. Les analystes de Gartner prévoient qu'au cours des cinq prochaines années, les produits UEBA individuels qui resteraient sur le marché d'ici là se transformeront en solutions SIEM de prochaine génération, tandis que d'autres solutions UEBA trouveront leur place dans d'autres technologies de sécurité.
L'algorithme des systèmes UEBA. Source: Gartner
Vous trouverez ci-dessous une brève description des produits les plus populaires du segment UEBA. Plus d'informations sur les produits peuvent être trouvées dans
le tableau de comparaison UEBA sur ROI4CIO, basé sur une comparaison des leaders (selon l'étude Gartner).
Analytique avancée Exabeam
Exabeam fournit des solutions de sécurité et de gestion qui aident les organisations de toutes tailles à protéger les informations les plus précieuses. Les produits Exabeam utilisent la technologie d'apprentissage automatique et l'analyse comportementale dans leur travail.
Selon les experts de Gartner, Exabeam Advanced Analytics est l'un des meilleurs de la catégorie UBA. Par rapport aux concurrents, cette solution est très facile à apprendre pour les administrateurs système ou les analystes, ce qui signifie que son temps de mise en œuvre est beaucoup plus court. Les analystes n'ont pas à passer des jours ou des semaines à collecter des preuves et à tracer des incidents sur la base des informations du SIEM. Grâce à la fonction d'analyse avancée, la chronologie des incidents prédéfinis marque les anomalies et affiche les détails afin de capturer pleinement l'événement et son contexte.
Ce qui prenait auparavant des semaines peut maintenant se faire en quelques secondes. L'interface utilisateur du produit est pratique, la navigation et la visualisation des données historiques sont extrêmement rapides. La solution contient des centaines de modèles intégrés, dont certains sont uniques, ils ne peuvent pas être trouvés chez les concurrents, ce qui est le principal avantage du produit. L'entreprise offre un support technique qualifié pour ses solutions.
Mais l'outil de notification, malheureusement, est pratiquement absent. L'utilisateur peut imprimer / exporter le contenu de la fenêtre du navigateur, envoyer des alertes sur les sessions anormales au système SIEM, ou il peut simplement prendre des captures d'écran. Si vous avez besoin de quelque chose de plus, vous devez recourir à un autre outil. L'affichage de plus d'une douzaine d'événements sur la chronologie nécessite un moniteur haute résolution, bien que même dans ce cas, pas plus de 20 événements conviendront. Il existe une fonction de recherche personnalisée utilisant le panneau de recherche «Threat Hunter», qui offre de bonnes fonctionnalités.
Micro Focus Security ArcSight UBA
ArcSight User Behavior Analytics fournit aux entreprises des informations détaillées sur leurs utilisateurs, ce qui simplifie considérablement la génération de données comportementales pour aider à atténuer les menaces. Il permet de détecter et d'enquêter sur les comportements malveillants des utilisateurs, les menaces internes et les abus de compte. Ainsi, il permet aux organisations de détecter les violations avant qu'elles ne causent des dommages importants.
ArcSight User Behavior Analytics aide les clients à réduire le risque de cyberattaques et à détecter les comportements anormaux en comparant les journaux du système de gestion de l'authentification des utilisateurs avec d'autres journaux informatiques générés par les applications et les réseaux. En outre, le produit fournit une réponse plus rapide aux menaces identifiées grâce à une intégration plus approfondie avec SIEM, ainsi qu'une enquête plus rapide sur les incidents. Le fait est que UBA analyse les données relatives aux utilisateurs, identifie les écarts et les compare avec des analogues, une activité historique et / ou des violations de comportements attendus prédéterminés.
De cette façon, ArcSight UBA détecte le comportement anormal des utilisateurs, ce qui est très important pour détecter le piratage ou les abus de compte. Micro Focus offre les cas d'utilisation les plus matures et éprouvés pour la sécurité dans UBA et l'intégration transparente symbiotique avec SIEM.
Forcepoint UEBA
La solution Forcepoint User and Entity Behavior Analytics (UEBA) permet aux équipes de sécurité de surveiller de manière proactive les comportements anormaux à haut risque au sein d'une organisation. La plateforme de protection analytique crée un contexte inégalé en combinant des données structurées et non structurées pour identifier et bloquer les utilisateurs malveillants, compromis et négligents. Forcepoint détecte divers problèmes critiques, tels que les comptes compromis, l'espionnage d'entreprise, le vol de propriété intellectuelle et la fraude.
Évaluant les nuances de l'interaction des personnes, des données, des appareils et des applications, Forcepoint UEBA priorise les délais pour les groupes de sécurité. La solution logicielle Forcepoint repose sur quatre principes:
Contexte riche. Le produit rassemble du contenu collecté à partir de sources de données disparates. Ainsi, complétant les capacités des solutions SIEM et d'autres solutions dans le domaine de la sécurité de l'information, pour identifier et empêcher les actions indésirables des utilisateurs.
Analyse comportementale. Forcepoint UEBA utilise plusieurs types d'analyses comportementales et de contenu rigoureuses axées sur la détection des changements, des modèles et des anomalies afin de mieux détecter les attaques complexes.
Recherche et découverte. Fournit de puissants outils d'investigation et de détection médico-légale via une interface utilisateur contextuelle pour une surveillance continue et des recherches approfondies.
Flux de travail intuitif. Fournit des rapports proactifs qui s'intègrent pleinement au flux de travail de l'administrateur système et à l'architecture d'informations client existante pour optimiser l'efficacité opérationnelle.
Analyse du comportement des utilisateurs Splunk
L'une des principales forces de Splunk User Behavior Analysis est la détection des menaces inconnues et des comportements anormaux à l'aide de l'apprentissage automatique.
Splunk User Behavior Analysis offre les fonctionnalités suivantes:
Détection avancée des menaces. Le produit détecte les anomalies et les menaces inconnues qui sont ignorées par les outils de sécurité traditionnels.
Des performances supérieures. Automatise la combinaison de centaines d'anomalies détectées en une seule menace, simplifiant considérablement la vie d'un analyste de sécurité
Puissantes capacités d'enquête sur les incidents. La solution utilise des capacités d'enquête approfondies et de puissantes caractéristiques comportementales de base pour toute entité, anomalie ou menace.
Visibilité et détection améliorées. Automatise la détection des menaces à l'aide de l'apprentissage automatique, ce qui vous permet de consacrer plus de temps à l'élimination des menaces elles-mêmes et à l'amélioration de la sécurité.
Chasse aux menaces accélérée. L'analyse du comportement des utilisateurs Splunk identifie rapidement les objets anormaux sans impliquer un humain. La solution contient un large éventail de différents types d'anomalies (plus de 65) et de classifications de menaces (plus de 25) pour les utilisateurs, les comptes, les appareils et les applications.
Ressources SOC augmentées. Combine automatiquement des centaines d'anomalies observées dans plusieurs entités - utilisateurs, comptes, appareils et applications - en une seule menace commune pour une réponse plus rapide.
Securonix UEBA
La solution Securonix UEBA introduit des capacités avancées d'analyse basée sur l'apprentissage automatique. Parmi les avantages du produit, il convient de noter les suivants:
Réduire le risque de menaces internes. Securonix crée un profil de risque exhaustif pour chaque utilisateur dans l'environnement de l'entreprise sur la base d'informations sur l'identité, l'emploi, les failles de sécurité, l'activité et l'accès informatiques, l'accès physique et même les enregistrements téléphoniques.
Le produit identifie les véritables zones à risque en comparant l'activité des utilisateurs avec leurs références individuelles, les références des groupes auxquels ils appartiennent et des indicateurs de menace bien connus. Les résultats sont évalués et présentés dans des tableaux de bord interactifs.
Meilleure visibilité dans votre cloud. Ici, il convient de noter des fonctionnalités telles que la surveillance cloud à cloud avec des API intégrées pour toutes les principales infrastructures cloud et technologies d'application; détection d'activités malveillantes en analysant les droits des utilisateurs et les événements; corrélation du cloud et des données locales afin d'ajouter des informations sur le contexte de l'objet. De plus, une analyse de bout en bout des schémas de menace devrait être indiquée, donnant lieu à une réponse.
Détection proactive des fraudes dans l'entreprise. Le produit est capable d'identifier les attaques frauduleuses complexes qui évitent généralement les méthodes de détection basées sur les signatures en utilisant un comportement sans signature avancé et des méthodes d'analyse anormales d'égal à égal. Il convient également de noter les fonctions de détection du détournement de compte, du comportement anormal de l'utilisateur, de la fraude transactionnelle et des violations du blanchiment d'argent.
Résumé
Les systèmes de classe UEBA / UBA sont un élément important pour identifier les types de menaces inconnues, les attaques APT, ainsi que les employés violant les règles SI au sein de l'entreprise. Les produits UEBA se concentrent sur quatre tâches de base.
Premièrement, une analyse simple et avancée des informations provenant de diverses sources en utilisant des méthodes d'apprentissage automatique, périodiquement ou en continu, en temps réel. Deuxièmement, les UEBA sont conçus pour la détection opérationnelle des attaques et autres anomalies qui ne sont généralement pas détectées par les outils classiques de sécurité des informations.
Troisièmement, il s'agit de déterminer l'importance des événements collectés à partir de diverses sources (systèmes tels que SIEM, DLP, AD, etc.) afin de répondre rapidement aux administrateurs de la sécurité de l'information.
Quatrièmement, une réponse puissante aux événements, assurée par le fait que les administrateurs du SI disposent d'informations complètes et détaillées sur l'incident.
Plus de produits UEBA et des informations plus détaillées à leur sujet peuvent être trouvés dans le tableau de comparaison UEBA sur ROI4CIO.
Auteur de la revue: Oleg Pilipenko, pour ROI4CIO