Cet article a été traduit automatiquement.
L'utilisateur et l'entité behavior analytique (UEBA) est une approche de sécurité qui analyse le modèle comportemental de l'utilisateur et de l'entité pour détecter les menaces potentielles.
Points à retenir
- L'UEBA surveille les changements subtils dans le comportement actuel par rapport aux lignes de base établies afin d'identifier les anomalies et de découvrir les activités suspectes.
- La surveillance informatique porte à la fois sur les utilisateurs humains et sur les entités non humaines telles que les terminaux et les applications, afin de fournir une couverture de sécurité complète.
- La sécurité de l'UEBA utilise l'analytique avancée et machine learning (ML) pour identifier les menaces que les outils de sécurité traditionnels pourraient manquer.
- Organizations utilisent l'UEBA pour réduire les faux positifs et renforcer la détection des menaces dans leurs environnements réseau.
Les fondamentaux de l'UEBA
Élargi à partir de l'analyse du comportement de l'utilisateur (UBA) centrée sur l'utilisateur humain (employés, prestataires, clients), l'UEBA inclut les entités (terminal, applications, réseaux) qui permettent la détection des menaces à travers l'ensemble de l'écosystème numérique. Gartner a inventé ce terme en 2015.
Alors que les outils de sécurité conventionnels s'appuient sur des règles et des signatures prédéfinies, l'UEBA établit des lignes de base comportementales à l'aide de la ML, de l'analyse statistique et de la modélisation comportementale. Les lignes de base fondamentales permettent une surveillance continue qui identifie les écarts par rapport à l'activité normale pouvant indiquer des menaces pour la sécurité, de sorte que lorsqu'une personne ou un terminal s'écarte du comportement établi, l'informatique est immédiatement signalée.
Dans les Workflows à distance, UEBA solutions ingère les données des terminaux, y compris ceux utilisés dans des environnements distants (ordinateurs portables d'entreprise, terminaux mobiles), en s'intégrant à la détection et à la réponse des terminaux (EDR) et à l'outil de surveillance du réseau.
L'UEBA détecte un large éventail de menaces numériques, notamment les attaques par déni de service distribué (DDoS), les attaques par force brute et les menaces internes. L'informatique peut également contribuer à limiter rapidement les escroqueries phishing et social engineering en détectant de légères différences de comportement lorsque des utilisateurs humains partagent par erreur des identifiants, cliquent sur des liens malveillants ou téléchargent des logiciels infectés.
L'UEBA s'aligne sur le National Institute of standard and Technologies (NIST) Cybersecurity frameworkLa fonction "detect" permet de vérifier en permanence les mesures de sécurité par le biais d'un suivi comportemental.
Comment fonctionne l'UEBA
En commençant par la collecte et l'analyse des données, UEBA transforme les données brutes en informations exploitables sur la sécurité. L'UEBA solutions recueille des données sur l'ensemble de l'infrastructure IT. Les sources de données comprennent les systèmes d'authentification et les plateformes de gestion des identités, les flux de trafic réseau, les journaux d'applications et d'accès, l'activité des terminaux, les journaux des nuages de services, ainsi que les métadonnées et les journaux des courriers électroniques.
Structure du modèle de base
Les systèmes UEBA utilisent les données collectées pour désigner des lignes de base comportementales qui définissent le modèle "normal" pour les individus (humains, entités), les groupes de deux personnes (rôles professionnels, fonctions) et les normes organisationnelles globales.
Les facteurs utilisés pour définir les lignes de base comprennent le modèle d'accès (quand, où et à quelle fréquence les ressources sont consultées), les volumes et les types de transactions, le modèle de communication et l'utilisation des ressources (applications, données, systèmes).
Détection des anomalies
L'UEBA utilise une analytique avancée tout en surveillant en permanence les déviations de modèles en s'appuyant sur l'analyse statistique, les algorithmes ML, la modélisation comportementale et l'analyse des groupes de paires.
L'UEBA détecte les variations par rapport à la norme en ce qui concerne le modèle d'accès ou les temps de connexion, l'accès aux données ou l'exfiltration, la connexion à partir de lieux géographiques inattendus, le modèle de communication, l'utilisation d'applications et les mouvements latéraux au sein des réseaux.
Evaluation des risques
Le score de risque est dynamique et tient compte du contexte. Ils combinent souvent plusieurs anomalies en un seul risque afin de réduire la fatigue des alertes.
L'UEBA permet à l'équipe sécurité de hiérarchiser les menaces grâce à une analyse de risque tbd qui mesure la gravité du modèle d'écart, la sensibilité des ressources, l'historique des incidents et le contexte de l'activité.
Génération d'alertes et réaction
L'UEBA peut être intégré aux plates-formes de sécurité, d'automatisation et de réponse (SOAR) afin de rationaliser les enquêtes et les réponses. Lorsque des anomalies significatives sont détectées, les alertes fournissent un contexte détaillé et des preuves légales, et peuvent déclencher des actions de réponse automatisées.
L'UEBA aide les organisations à renforcer leur posture de sécurité en évoluant vers une approche de la sécurité plus adaptative et axée sur l'intelligence.
Common UEBA cas d'usage
Détection des menaces par les initiés : L'UEBA peut détecter les initiés malveillants et les identifiants de compromission par l'accès aux données ou les tentatives d'exfiltration de données, y compris l'accès aux ressources en dehors des fonctions habituelles, le compte inactif activation, les changements de comportement précédant le départ de l'employé, et l'élévation des privilèges ou l'abus.
détection de compromission compte : Même lorsqu'un attaquant dispose d'identifiants valides, UEBA peut identifier un compte de compromission. Les systèmes UEBA sont à l'écoute des connexions à partir de lieux ou de terminaux inhabituels, des temps ou durées d'accès anormaux, des changements dans le modèle de saisie ou l'utilisation des commandes, de la navigation inhabituelle dans les applications ou les systèmes, et de l'accès à des ressources qui ne sont pas habituellement utilisées par le propriétaire du compte.
Détection des menaces persistantes avancées (APT) : L'UEBA aide à détecter les APT en identifiant les mouvements latéraux inhabituels au sein des réseaux, les activités de reconnaissance, le stockage des données avant leur exfiltration, les communications de commandement et de contrôle, et les mécanismes de persistance.
Détection des fraudes : L'UEBA identifie les activités frauduleuses en détectant des modèles de transactions financières inhabituels, des modifications de comptes suspectes, des interactions anormales avec le service clientèle, des violations de la politique dans les systèmes financiers et des changements dans le comportement des transactions.
Conformité et audit support: L'UEBA crée des pistes d'audit qui associent les activités de l'utilisateur et de l'entité, documentent l'accès aux données réglementées, soutiennent les enquêtes judiciaires, démontrent l'efficacité des contrôles de sécurité et prouvent la conformité réglementaire.
Avantages de l'UEBA et demande d'authentification
Principaux avantages
Amélioration de la détection des menaces
L'UEBA améliore la capacité à détecter les menaces sophistiquées qui échappent aux contrôles de sécurité traditionnels, telles que les attaques de type "zero-day", les menaces sans signatures ou règles prédéfinies et les attaques qui se développent lentement au fil du temps, en offrant une visibilité sur l'ensemble du cycle de vie de l'attaque.
Réduction des faux positifs
L'UEBA réduit les faux positifs en corrélant plusieurs signaux comportementaux dans le temps, en se concentrant sur le modèle plutôt que sur des anomalies isolées. Le service informatique applique le système d'évaluation des risques tbd pour hiérarchiser les menaces importantes et faire la distinction entre les activités malveillantes et les comportements légitimes mais inhabituels.
Amélioration des capacités d'enquête
L'UEBA fournit aux analystes de la sécurité un contexte détaillé pour des enquêtes plus efficaces en fournissant des calendriers complets des activités de l'utilisateur et de l'entité, en corrélant les événements connexes dans plusieurs systèmes et en transmettant des représentations graphiques des anomalies comportementales.
Adaptabilité à des environnements changeants
Contrairement aux systèmes basés sur des règles qui nécessitent des mises à jour constantes, l'UEBA s'adapte à des environnements en constante évolution en affinant continuellement les bases comportementales, en s'adaptant aux changements organisationnels et aux nouveaux systèmes, en tenant compte des mises à jour des rôles et des fonctions des utilisateurs et en tirant des enseignements des résultats des enquêtes afin d'améliorer les détections futures.
implémentation demande d'authentification
Qualité et disponibilité des données
L'efficacité de l'UEBA va de pair avec la qualité des données, ce qui nécessite un enregistrement complet dans plusieurs systèmes, des formats de données cohérents et une identification précise de l'utilisateur et de l'entité.
Période d'établissement de référence
L'élaboration de bases comportementales fiables peut nécessiter des semaines ou des mois de collecte de données précises et peut être affectée par des facteurs tels que les variations saisonnières.
Exigences en matière d'expertise
La mise en œuvre et la gestion de l'UEBA nécessitent des professionnels formés à l'analyse des données, à la sécurité, à l'intégration, à la maintenance et à l'optimisation, ainsi qu'à l'optimisation des outils de l'UEBA.
Complexité de l'intégration
L'intégration de l'UEBA dans l'infrastructure de sécurité existante peut s'avérer difficile. L'informatique peut nécessiter de nouvelles méthodes de collecte de données, doit s'aligner sur les flux de travail des opérations de sécurité et doit s'intégrer à d'autres outils.
UEBA implémentation bonne pratique
- Définissez des objectifs clairs : Identifiez les demandes d'authentification spécifiques en matière de sécurité, définissez les critères de réussite et la métrique, et établissez des attentes réalistes en ce qui concerne les délais de mise en œuvre.
- Impliquer les équipes interfonctionnelles : Prévoyez un alignement interfonctionnel entre les équipes chargées de la sécurité, de IT et de la conformité afin de garantir un accès aux données, une intégration et une gouvernance sans faille.
- Assurer une collecte de données complète : Identifier les sources de données pertinentes, fournir un enregistrement complet et cohérent, valider la qualité et l'exhaustivité des données et combler les lacunes dans la collecte de données existante.
- Commencez par les cas d'utilisation les plus importants : Commencez par les cas d'utilisation les plus critiques en matière de sécurité, concentrez-vous sur les domaines présentant le risque potentiel le plus élevé et démontrez la valeur ajoutée par des succès précoces.
- Intégrez les flux de travail des opérations de sécurité existantes : Alignez l'acheminement des alertes avec les procédures de réponse, éduquez et formez l'équipe de sécurité, et établissez des voies d'escalade claires pour les anomalies détectées.
- Optimisez et affinez en permanence : Examinez et ajustez les seuils de détection, analysez les faux positifs, mettez à jour les lignes de base en fonction des changements organisationnels et intégrez les commentaires des analystes de la sécurité.
UEBA vs. gestion des identités et des accès (IAM)
Fonctionnalités | UEBA | IAM |
Objectif | Détecte les comportements anormaux qui peuvent indiquer des menaces pour la sécurité. | Gestion de l'identité de l'utilisateur et contrôle de l'accès aux ressources |
Usage | Établir des lignes de base et identifier les écarts par rapport au comportement normal | Authentifie l'utilisateur, vérifie son identité et lui accorde l'accès à des ressources spécifiques en fonction de son rôle et de son autorisation. |
Cadre temporel | Fonctionne en continu et analyse le comportement au fil du temps pour détecter les anomalies. | Opère principalement au moment des demandes d'accès, en appliquant une politique d'accès prédéfinie. |
Méthode | Utilise la ML et l'analytique avancée pour identifier les menaces inconnues | Elle utilise généralement des systèmes basés sur des règles pour prendre des décisions d'accès sur la base d'une politique prédéfinie. |
Poste d'intégration | Souvent, le journal IAM est utilisé comme source de données. | Peut utiliser les informations de l'UEBA pour ajuster la politique d'accès ou déclencher une authentification renforcée |
UEBA vs. détection et réponse du terminal (EDR)
Fonctionnalités | UEBA | EDR |
Domaine d'intervention | Analyse les comportements des utilisateurs et des entités afin de détecter les anomalies susceptibles d'indiquer des menaces. | Se concentre spécifiquement sur la sécurité des terminaux, la surveillance et la réponse aux menaces sur les terminaux. |
Méthode de détection | Utilise l'analyse comportementale et le ML pour établir des lignes de base et détecter les modèles anormaux. | Utilise la détection basée sur la signature, l'heuristique et l'analyse comportementale spécifiquement pour les activités terminales. |
source de donnée | Collecte des données provenant de sources multiples à travers le réseau (journal d'authentification, modèle d'accès, etc.) | Collecte de données à partir du terminal (ordinateurs, serveurs, terminaux mobiles) |
Capacités de réaction | Fournit des alertes et des analyses, mais les fonctions de réponse directe sont limitées. | Capacités de réaction active, y compris l'endiguement, la correction et le retour en arrière |
Implémentation | Souvent intégré à des solutions SIEM en tant que couche analytique | Déployé en tant qu'agent sur un terminal avec une console de gestion centralisée |
UEBA vs gestion de l'information et de la sécurité (SIEM)
Fonctionnalités | UEBA | SIEM |
Fonctionnalité de base | Se concentre spécifiquement sur l'analyse du comportement pour détecter les anomalies | Collecte, met en corrélation et analyse les événements de sécurité dans plusieurs systèmes |
périmètre des données requises | Plus étroitement axé sur les comportements de l'utilisateur et de l'entité | La couverture des événements de sécurité est plus large sur l'ensemble de l'infrastructure IT. |
Méthode d'analyse | Utilise l'analyse ML et l'analyse statistique pour établir des lignes de base | Elle utilise traditionnellement la corrélation basée sur des règles, bien que les SIEM modernes intègrent désormais certaines capacités UEBA. |
Contexte historique | extension de l'UBA pour inclure à la fois les utilisateurs humains et les entités afin d'améliorer la détection des menaces. | Évolution des systèmes de gestion log vers une surveillance plus large de la sécurité |
Déploiement | Souvent un composant du SIEM, ou à côté de celui-ci | Une plateforme de surveillance de la sécurité unifiée qui peut inclure la fonctionnalité UEBA |
utilisateur et entité behavior analytique FAQ
En quoi l'UEBA diffère-t-il des outils de sécurité traditionnels ?
Les outils de sécurité traditionnels s'appuient sur des signatures connues, des règles prédéfinies ou des correspondances de modèles. L'UEBA établit des lignes de base de comportement normal et identifie les anomalies qui s'écartent de ces modèles, ce qui lui permet de détecter des menaces inconnues et des attaques sophistiquées qui n'ont pas été détectées par les contrôles conventionnels.
Quelle est la différence entre l'UEBA et l'ITDR ?
L'UEBA se concentre sur la surveillance de la manière dont les identités sont utilisées (et potentiellement mal utilisées) dans l'environnement, tandis que l'identité détection des menaces et réponse (ITDR) surveille spécifiquement les attaques directes sur les systèmes d'identité qui gèrent ces identités. Elles sont très complémentaires, les idées de l'une enrichissant souvent l'analyse de l'autre, ce qui contribue à renforcer l'identité globale de la posture de sécurité.
Comment l'UEBA réduit-il les faux positifs ?
L'UEBA peut faire la distinction entre les véritables menaces pour la sécurité et les activités inhabituelles mais légitimes en comprenant le modèle de comportement normal et en appliquant un système d'évaluation des risques. Cette prise de conscience réduit considérablement les faux positifs par rapport aux outils de sécurité basés sur des règles.
L'UEBA remplace-t-il d'autres technologies de sécurité ?
L'UEBA complète mais ne remplace pas les autres technologies de sécurité. Les technologies de l'information sont plus efficaces lorsqu'elles font partie d'une stratégie de sécurité globale, comprenant des contrôles préventifs, la sécurité des réseaux, la protection des terminaux et d'autres capacités de détection.
Combien de temps faut-il pour mettre en œuvre l'UEBA ?
L'établissement de bases comportementales fiables nécessite plusieurs semaines ou mois de collecte de données, en fonction de la complexité de l'environnement. Certaines capacités de détection sont réalisées plus rapidement que d'autres. Les avantages de l'UEBA se matérialisent au fur et à mesure que le système apprend le modèle de comportement normal.
Renforcez votre posture de sécurité avec Okta
Protégez proactivement vos organisations contre les nouvelles menaces liées à l'identité en temps réel.
