Aujourd'hui, nous fournirons un bref aperçu du marché des systèmes d'analyse comportementale des utilisateurs et des entités (UEBA) sur la base de la dernière étude Gartner . Le marché UEBA est au bas de la «phase de déception» du cycle de battage médiatique de Gartner pour les technologies menaçant les menaces, ce qui indique la maturité de cette technologie. Mais le paradoxe de la situation réside dans la croissance globale simultanée des investissements dans les technologies UEBA et la disparition du marché des solutions UEBA indépendantes. Gartner prédit que l'UEBA fera partie de la fonctionnalité des solutions connexes dans le domaine de la sécurité de l'information. Le terme «UEBA» est susceptible de devenir obsolète et sera remplacé par un autre acronyme axé sur une portée plus étroite (par exemple, «analyse du comportement des utilisateurs»), sur une portée similaire (par exemple, «utilisation des données») ou simplement devenir un nouveau mot à la mode (par exemple, le terme «intelligence artificielle» [AI] semble intéressant, bien qu'il n'ait aucun sens pour les fabricants UEBA modernes).

Les principales conclusions de l'étude Gartner peuvent être résumées comme suit:

La confirmation de la maturité du marché de l'analyse comportementale des utilisateurs et des entités est le fait que ces technologies sont utilisées par les moyennes et grandes entreprises pour résoudre un certain nombre de tâches commerciales;
Les fonctions d'analyse UEBA sont intégrées à un large éventail de technologies de sécurité de l'information connexes, telles que les courtiers d'accès au cloud sécurisé (CASB), les systèmes SIEM de gestion et d'administration des identités (IGA);
Le battage médiatique entourant les fournisseurs de l'UEBA et l'utilisation incorrecte du terme «intelligence artificielle» compliquent la compréhension par les clients de la réelle différence entre les technologies des fabricants et la fonctionnalité des solutions sans projet pilote;
Les acheteurs notent que le temps de mise en œuvre et d'utilisation quotidienne des solutions UEBA peut être plus long et prendre plus de temps que le fabricant ne le promet, même si nous ne considérons que les modèles de base de détection des menaces. L'ajout de vos propres scénarios d'application ou de limites peut être extrêmement difficile et nécessiter une expertise en science des données et en analyse.

Prévisions stratégiques pour le développement du marché:

D'ici 2021, le marché des systèmes d'analyse comportementale des utilisateurs et des entités (UEBA) cessera d'exister en tant que zone distincte et évoluera vers d'autres solutions dotées de fonctionnalités UEBA;
D'ici 2020, 95% de tous les déploiements UEBA feront partie des fonctionnalités d'une plateforme de sécurité plus large.

Définition des solutions UEBA

Les solutions UEBA utilisent des analyses intégrées pour mesurer l'activité des utilisateurs et d'autres entités (par exemple, les hôtes, les applications, le trafic réseau et le stockage des données).
Ils détectent les menaces et les incidents potentiels, représentant généralement une activité anormale par rapport au profil et au comportement standard des utilisateurs et des entités de groupes similaires sur une certaine période de temps.

Les scénarios d'application les plus courants dans le segment d'entreprise sont la détection et la réponse aux menaces, ainsi que la détection et la réponse aux menaces internes (dans la plupart des cas, aux initiés compromis; parfois aux attaquants internes).

UEBA est à la fois une solution et une fonction intégrée à un outil spécifique:

La solution est les fabricants de plates-formes UEBA «propres», y compris les fournisseurs qui vendent également séparément des solutions SIEM. Axé sur un large éventail de tâches commerciales dans l'analyse du comportement des utilisateurs et des entités.
Embarqué - fabricants / départements intégrant les fonctions et technologies UEBA dans leurs solutions. Généralement axé sur un ensemble plus spécifique de tâches commerciales. Dans ce cas, l'UEBA est utilisé pour analyser le comportement des utilisateurs et / ou des entités.

Gartner examine l'UEBA dans une coupe transversale de trois axes, y compris les tâches solubles, les analyses et les sources de données (voir figure).

Plates-formes UEBA propres et UEBA intégrées

Gartner considère les solutions de plate-forme UEBA «propres» qui:

Résoudre plusieurs tâches spécifiques, telles que la surveillance d'utilisateurs privilégiés ou la sortie de données en dehors de l'organisation, plutôt que simplement d'abstraire la "surveillance des activités anormales des utilisateurs";
impliquer l'utilisation d'analyses sophistiquées, qui, si nécessaire, sont basées sur des approches analytiques de base;
fournir plusieurs options pour la collecte de données, y compris à la fois des mécanismes intégrés de sources de données et à partir d'outils de gestion des journaux, de Data Lake et / ou de systèmes SIEM, sans avoir besoin de déployer des agents distincts dans l'infrastructure;
peuvent être acquis et déployés en tant que solutions indépendantes, mais non inclus dans
composition d'autres produits.

Le tableau ci-dessous compare les deux approches.

Tableau 1. Solutions UEBA «propres» par rapport aux solutions intégrées

Catégorie	Plateformes UEBA propres	Autres solutions avec UEBA intégré
Problème à résoudre	Analyse du comportement des utilisateurs ainsi que des entités.	Le manque de données peut limiter l'UEBA dans l'analyse du comportement des seuls utilisateurs ou entités.
Problème à résoudre	Sert à résoudre un large éventail de tâches.	Spécialisé dans un ensemble limité de tâches
Analytique	Identification des anomalies à l'aide de diverses méthodes analytiques - principalement par le biais de modèles statistiques et d'apprentissage automatique, ainsi que des règles et des signatures. Livré avec des analyses intégrées pour créer et comparer l'activité des utilisateurs et des entités avec leurs profils et profils de collègues.	Similaire à l'UEBA «pur», cependant, l'analyse ne peut être limitée qu'aux utilisateurs et / ou aux entités.
Analytique	Des capacités analytiques avancées, non limitées uniquement par des règles. Par exemple, un algorithme de clustering avec regroupement dynamique d'entités.	Comme pour l'UEBA «pur», le regroupement d'entités dans certains modèles de menaces intégrées ne peut être modifié que manuellement.
Analytique	Corrélation de l'activité et du comportement des utilisateurs et d'autres entités (par exemple, par la méthode du réseau bayésien) et agrégation des comportements à risque individuels afin d'identifier une activité anormale.	Similaire à l'UEBA «pur», cependant, l'analyse ne peut être limitée qu'aux utilisateurs et / ou aux entités.
Sources de données	Réception d'événements pour les utilisateurs et les entités à partir de sources de données directement via des mécanismes intégrés ou des magasins de données existants, tels que SIEM ou Data Lake.	Les mécanismes d'acquisition de données ne sont généralement que directs et n'affectent que les utilisateurs et / ou d'autres entités. N'utilisez pas d'outils de gestion des journaux / SIEM / Data Lake.
Sources de données	La solution ne doit pas seulement s'appuyer sur le trafic réseau comme source de données principale, mais aussi exclusivement sur ses propres agents de collecte de télémétrie.	La solution ne peut se concentrer que sur le trafic réseau (par exemple, NTA - analyse du trafic réseau) et / ou utiliser ses agents sur les terminaux (par exemple, les utilitaires de surveillance des employés).
Sources de données	Saturation des données utilisateur / entité avec le contexte. Prise en charge de la collecte d'événements structurés en temps réel, ainsi que de données connectées structurées / non structurées à partir d'annuaires informatiques - par exemple, Active Directory (AD) ou d'autres ressources avec des informations lisibles par machine (par exemple, une base de données de ressources humaines).	Comme pour l'UEBA «pur», la portée des données contextuelles peut varier dans différents cas. AD et LDAP sont les magasins de données contextuelles les plus courants utilisés par les solutions UEBA intégrées.
La disponibilité	Fournit ces fonctionnalités en tant que produit autonome.	Il est impossible d'acheter une fonctionnalité UEBA intégrée sans acheter la solution externe dans laquelle elle est intégrée.
Source: Gartner (mai 2019)

Ainsi, pour résoudre certains problèmes, l'UEBA intégré peut utiliser des analyses UEBA de base (par exemple, un apprentissage automatique simple sans professeur), mais en même temps, en raison de l'accès aux bonnes données, il peut être généralement plus efficace qu'une solution UEBA «pure». De plus, les plates-formes UEBA «propres» devraient offrir des analyses plus sophistiquées en tant que savoir-faire principal par rapport à l'outil UEBA intégré. Ces résultats sont résumés dans le tableau 2.

Tableau 2. Résultat des différences entre UEBA pur et embarqué

Catégorie	Plateformes UEBA propres	Autres solutions avec UEBA intégré
Analytique	L'applicabilité pour résoudre de nombreux problèmes commerciaux implique un ensemble plus universel de fonctions UEBA en mettant l'accent sur des modèles d'analyse et d'apprentissage automatique plus complexes.	L'accent mis sur un plus petit ensemble de tâches métier implique des fonctions hautement spécialisées axées sur des modèles pour des applications spécifiques avec une logique plus simple.
Analytique	La personnalisation du modèle analytique est nécessaire pour chaque scénario d'application.	Les modèles analytiques sont préconfigurés pour l'outil dans lequel l'UEBA est intégré. Un outil avec UEBA intégré dans son ensemble permet de résoudre plus rapidement certains problèmes commerciaux.
Sources de données	Accès aux sources de données de tous les coins de l'infrastructure de l'entreprise.	Un plus petit nombre de sources de données, généralement limité par la présence d'agents en dessous ou par l'outil lui-même avec des fonctions UEBA.
Sources de données	Les informations contenues dans chaque journal peuvent être limitées par la source de données et peuvent ne pas contenir toutes les données nécessaires pour un outil UEBA centralisé.	La quantité et le détail des données source collectées par l'agent et transférées vers l'UEBA peuvent être spécialement configurés.
L'architecture	Il s'agit d'un produit UEBA complet pour l'organisation. Intégration plus facile en utilisant les capacités du système SIEM ou du Data Lake.	Nécessite un ensemble distinct de fonctions UEBA pour chaque solution dotée d'un UEBA intégré. Les solutions UEBA intégrées nécessitent souvent que vous installiez des agents et gériez les données.
Intégration	Intégration manuelle des solutions UEBA avec d'autres outils dans chaque cas. Permet à l'organisation de créer sa propre pile technologique basée sur l'approche du «meilleur parmi ses pairs».	Les principaux ensembles de fonctions UEBA sont déjà intégrés dans l'outil lui-même par le fabricant. Le module UEBA est intégré et ne peut pas être récupéré, les clients ne peuvent donc pas le remplacer par quelque chose qui leur est propre.
Source: Gartner (mai 2019)

UEBA en fonction

UEBA devient une caractéristique des solutions de cybersécurité de bout en bout qui peuvent bénéficier d'analyses supplémentaires. L'UEBA sous-tend ces décisions, représentant une couche impressionnante d'analyses avancées sur les modèles de comportement des utilisateurs et / ou des entités.

Actuellement, la fonctionnalité UEBA intégrée sur le marché est implémentée dans les solutions suivantes, regroupées par périmètre technologique:

L'audit et la protection centrés sur les données sont des fabricants qui se concentrent sur l'amélioration de la sécurité des entrepôts de données structurés et non structurés (appelés DCAP).

Dans cette catégorie de fournisseurs, Gartner note, entre autres, la plate - forme de cybersécurité Varonis , qui propose une analyse du comportement des utilisateurs pour surveiller les modifications des droits d'accès aux données non structurées, leur accès et leur utilisation pour divers référentiels d'informations.
Systèmes CASB qui offrent une protection contre diverses menaces dans les applications SaaS cloud en bloquant l'accès aux services cloud pour les appareils, utilisateurs et versions d'application indésirables à l'aide d'un système de contrôle d'accès adaptatif.

Toutes les solutions CASB leaders du marché incluent des capacités UEBA.
Solutions DLP - axées sur la détection de la sortie de données critiques en dehors de l'organisation ou de leur utilisation abusive.

Les réalisations du DLP reposent en grande partie sur une compréhension du contenu, en mettant moins l'accent sur la compréhension du contexte, comme l'utilisateur, l'application, l'emplacement, l'heure, la vitesse des événements et d'autres facteurs externes. Pour être efficaces, les produits DLP doivent reconnaître à la fois le contenu et le contexte. C'est pourquoi de nombreux fabricants commencent à intégrer la fonctionnalité UEBA dans leurs solutions.
La surveillance des employés est la capacité d'enregistrer et de reproduire les actions des employés, généralement dans un format de données adapté au litige (si nécessaire).

La surveillance constante des utilisateurs génère souvent une quantité exorbitante de données nécessitant un filtrage et une analyse manuels par une personne. Par conséquent, l'UEBA est utilisé dans les systèmes de surveillance pour améliorer les performances de ces solutions et détecter les incidents avec seulement un degré de risque élevé.
Endpoint Security - Les solutions Endpoint Detection and Response (EDR) et Endpoint Protection Platform (EPP) fournissent des outils puissants et la télémétrie pour le système d'exploitation sur
terminaux.

Cette télémétrie liée à l'utilisateur peut être analysée pour fournir des fonctions UEBA intégrées.
Fraude en ligne - les solutions de détection de fraude en ligne détectent une activité anormale, ce qui indique une compromission du compte d'un client par le biais d'un mannequin, d'un logiciel malveillant ou du fonctionnement de connexions non sécurisées / interception du trafic du navigateur.

La plupart des solutions de fraude utilisent la quintessence de l'UEBA, l'analyse transactionnelle et la mesure des caractéristiques des appareils, tandis que les systèmes plus avancés les complètent en faisant correspondre les relations dans une base de données d'identificateurs d'identité.
IAM et contrôle d'accès - Gartner marque une tendance d'évolution chez les fabricants de systèmes de contrôle d'accès, qui consiste à intégrer des fournisseurs propres et à intégrer certaines fonctions UEBA dans leurs produits.
IAM et les systèmes de gestion et d'administration des identités ( IGA ) utilisent l'UEBA pour couvrir des scénarios d'analyse comportementale et d'identité tels que la détection d'anomalies, le regroupement dynamique d'entités similaires, l'analyse des connexions système et l'analyse des politiques d'accès.
IAM et contrôle d'accès privilégié (PAM) - en lien avec le rôle de contrôle de l'utilisation des comptes administratifs, les solutions PAM disposent d'une télémétrie pour afficher comment, pourquoi, quand et où les comptes administratifs ont été utilisés. Ces données peuvent être analysées à l'aide de la fonctionnalité UEBA intégrée pour la présence d'un comportement anormal des administrateurs ou d'une intention malveillante.
Fabricants de NTA (Network Traffic Analysis) - utilisez une combinaison d'apprentissage automatique, d'analyses avancées et de découverte basée sur des règles pour identifier les activités suspectes dans les réseaux d'entreprise.

Les outils NTA analysent en permanence le trafic source et / ou les enregistrements de flux (par exemple NetFlow) pour créer des modèles qui reflètent le comportement normal du réseau, en se concentrant principalement sur l'analyse du comportement des entités.
SIEM - de nombreux fournisseurs SIEM ont désormais une fonctionnalité avancée d'analyse de données intégrée à SIEM, ou en tant que module UEBA distinct. Tout au long de 2018 et toujours en 2019, il y a eu un flou continu des frontières entre les fonctionnalités SIEM et UEBA, comme indiqué dans l'article «Technology Insight for the Modern SIEM» . Les systèmes SIEM sont devenus plus aptes à travailler avec l'analytique et offrent des scénarios d'application plus complexes.

Scénarios d'application UEBA

Les solutions UEBA peuvent résoudre un large éventail de tâches. Cependant, les clients de Gartner conviennent que le scénario d'application principal comprend la détection de diverses catégories de menaces, obtenue en affichant et en analysant les corrélations fréquentes du comportement des utilisateurs et d'autres entités:

accès et mouvement non autorisés des données;
comportement suspect des utilisateurs privilégiés, activité malveillante ou non autorisée des employés;
accès et utilisation non standard des ressources cloud;
et autres

Il existe également un certain nombre de scénarios d'application atypiques non liés à la cybersécurité, tels que la fraude ou la surveillance des employés, pour lesquels l'utilisation de l'UEBA peut être garantie. Cependant, ils nécessitent souvent des sources de données qui ne sont pas liées à l'informatique et à la sécurité des informations, ou des modèles analytiques spécifiques avec une compréhension approfondie de ce domaine. Les cinq principaux scénarios et applications que les fabricants UEBA et leurs clients conviennent sont décrits ci-dessous.

Insider malveillant

Les fournisseurs de solutions UEBA couvrant ce scénario surveillent les employés et les sous-traitants de confiance uniquement en termes de comportement non standard, «mauvais» ou malveillant. Les fournisseurs dans ce domaine d'expertise ne surveillent ni n'analysent le comportement des comptes de service ou d'autres entités non humaines. Pour la plupart, c'est pour cette raison qu'ils ne se concentrent pas sur la détection des menaces avancées lorsque les pirates détournent des comptes existants. Ils visent plutôt à identifier les employés impliqués dans des activités malveillantes.

En fait, le concept «d'initié malveillant» vient d'utilisateurs de confiance avec une intention malveillante qui cherchent des moyens d'infliger des dommages à leur employeur. Étant donné que l'intention malveillante est difficile à évaluer, les meilleurs fabricants de cette catégorie analysent les données de comportement contextuel qui ne sont pas facilement accessibles dans les journaux d'audit.

Les fournisseurs de solutions dans ce domaine ajoutent et analysent également de manière optimale des données non structurées, telles que le contenu des e-mails, des rapports de productivité ou des informations sur les réseaux sociaux, pour former un contexte de comportement.

Menaces internes et intrusives compromises

La tâche consiste à détecter et analyser rapidement les «mauvais» comportements dès que l'attaquant a accédé à l'organisation et a commencé à se déplacer dans l'infrastructure informatique.
Les menaces obsessionnelles (APT), comme les menaces inconnues ou encore mal comprises, sont extrêmement difficiles à détecter et se cachent souvent sous l'activité légitime des utilisateurs ou des comptes d'entreprise. Ces menaces ont généralement un modèle de travail complet (voir, par exemple, l'article " S'attaquer à la chaîne de la cyber-tuerie ") ou leur comportement n'a pas encore été considéré comme malveillant. Cela les rend difficiles à détecter à l'aide d'analyses simples (par exemple, l'appariement par modèles, seuils ou règles de corrélation).

Cependant, beaucoup de ces menaces obsessionnelles conduisent à des comportements différents, souvent associés à des utilisateurs ou des entités sans méfiance (soi-disant initiés compromis). Les méthodologies UEBA offrent plusieurs opportunités intéressantes pour détecter de telles menaces, augmenter le rapport signal / bruit, consolider et réduire le volume de notifications, hiérarchiser les réponses restantes et faciliter une réponse et une enquête efficaces sur les incidents.

Les fabricants UEBA qui ciblent ce domaine de la tâche ont souvent une intégration bidirectionnelle avec les systèmes SIEM dans leurs organisations.

Filtrage des données

La tâche dans ce cas est de détecter le fait de la sortie de données en dehors de l'organisation.
Les fabricants qui se concentrent sur cette tâche améliorent généralement les capacités des systèmes DLP ou de contrôle d'accès aux données (DAG) avec détection d'anomalies et analyses avancées, augmentant ainsi le rapport signal / bruit, consolidant le volume des notifications et priorisant les réponses restantes. Pour plus de contexte, les fabricants s'appuient généralement davantage sur le trafic réseau (tels que les proxys Web) et les données des terminaux, car l'analyse de ces sources de données peut aider à enquêter sur l'exfiltration des données.

La détection d'exfiltration des données est utilisée pour capturer les initiés et les pirates externes menaçant l'organisation.

Authentification et contrôle d'accès privilégié

Les fabricants de solutions UEBA indépendantes dans ce domaine d'expertise observent et analysent le comportement des utilisateurs dans le contexte d'un système de droits déjà formé afin d'identifier les privilèges excessifs ou les accès anormaux. Cela s'applique à tous les types d'utilisateurs et de comptes, y compris les comptes privilégiés et de service. Les organisations utilisent également UEBA pour se débarrasser des comptes dormants et des privilèges utilisateur supérieurs à ceux requis.

Hiérarchisation des incidents

Le but de cette tâche est de prioriser les notifications générées par les solutions de leur pile technologique afin de comprendre quels incidents ou incidents potentiels doivent être traités en premier. Les méthodologies et outils UEBA sont utiles pour identifier les incidents particulièrement anormaux ou particulièrement dangereux pour une organisation donnée. Dans ce cas, le mécanisme UEBA utilise non seulement le niveau de base des modèles d'activité et de menace, mais sature également les données avec des informations sur la structure organisationnelle de l'entreprise (par exemple, les ressources ou rôles critiques et les niveaux d'accès des employés).

Problèmes de mise en œuvre des solutions UEBA

La difficulté du marché des solutions UEBA est leur prix élevé, leur mise en œuvre, leur maintenance et leur utilisation complexes. Alors que les entreprises ont du mal avec le nombre de portails internes différents, elles obtiennent une autre console. La taille de l'investissement de temps et de ressources dans un nouvel outil dépend des défis et des types d'analyses qui sont nécessaires pour les résoudre et nécessitent le plus souvent de gros investissements.

Contrairement aux affirmations de nombreux fabricants, l'UEBA n'est pas un outil «réglé et oublié», qui peut ensuite fonctionner en continu pendant des jours.
Les clients de Gartner, par exemple, notent qu'il faut 3 à 6 mois pour lancer l'initiative UEBA à partir de zéro avant de recevoir les premiers résultats de la résolution des problèmes pour lesquels cette solution a été mise en œuvre. Pour les tâches plus complexes, telles que l'identification des menaces internes dans une organisation, la durée est étendue à 18 mois.

Facteurs affectant la complexité de la mise en œuvre de l'UEBA et l'efficacité future de l'outil:

Complexité de l'architecture de l'organisation, de la topologie du réseau et des politiques de gestion des données
Disponibilité des bonnes données avec le bon niveau de détail
La complexité des algorithmes d'analyse du fabricant - par exemple, l'utilisation de modèles statistiques et de l'apprentissage automatique par rapport à des modèles et des règles simples.
, – , .
.

Par exemple:
- UEBA- SIEM- , SIEM ?
- UEBA-?
- SIEM- , UEBA-, ?
, , .
– , , ; ; .
.
, . 30 ( 90 ) , «». . , .
, (/), .

Marché de l'UEBA meurt - Longue vie à l'UEBA