UBA : analyser le comportement des utilisateurs pour contrer le surmenage des équipes IT et les cybermenaces

Politique de sécuritéSécurité

Le surmenage lié aux nombreuses alertes de sécurité reste un défi croissant pour les équipes IT, et les empêche parfois de détecter des violations de données. En effet, le volume d’activités suspectes, dont des faux positifs, inhérents aux outils de sécurité traditionnels sont très chronophages à surveiller et donc sources d’erreurs.

Want create site? Find Free WordPress Themes and plugins.

Pour y pallier, les entreprises doivent être en mesure d’analyser le comportement des utilisateurs, notamment via l’apprentissage automatique, afin de donner un sens aux informations liées aux activités sur le réseau.

Cette analyse du comportement des utilisateurs, ou UBA (User Behavior Analytics) aide en effet les professionnels de la sécurité à mieux comprendre et hiérarchiser les alertes en identifiant celles qui sont suspectes, par rapport à un comportement utilisateur habituel.
Cela comprend notamment les tentatives classiques de violations de données via de l’ingénierie sociale, des logiciels malveillants, des erreurs humaines ou encore des actions malveillantes par des employés ; des types d’incidents qui représentent jusqu’à 97 % des compromissions selon le rapport Verizon Data Breach Report 2019.

L’UBA est donc clé pour les équipes IT car elle détecte les activités potentiellement dangereuses qui impliquent des données sensibles et fournit les détails nécessaires à une analyse plus approfondie.

Déployer une application UBA dans l’infrastructure informatique

L’UBA est couramment utilisée pour trier la grande quantité d’alertes générée par les systèmes de gestion des informations et des événements de sécurité (SIEM) ; très chronophage pour les équipes IT et source de surmenage. Les alertes basées sur les règles d’un SIEM sont efficaces pour surveiller les menaces connues ou des événements spécifiques, tels que l’arrêt d’un antivirus susceptible d’entraîner des violations de conformité.

Cependant, les faux positifs potentiels peuvent faire perdre du temps aux équipes de sécurité informatique. Lorsqu’elle est intégrée à un outil SIEM, l’UBA résout cette limite car elle affine les alertes en corrélant les informations provenant de diverses sources et en établissant les profils de comportement des utilisateurs afin de définir les menaces. Elle permet également de gagner du temps en termes d’investigation, puisqu’elle fournit un historique contextuel de l’incident qui peut être étudié par l’équipe de sécurité. Les alertes basées sur l’analyse du comportement des utilisateurs sont donc efficaces pour détecter notamment les attaques zero-day, car une activité anormale est souvent le seul signe de telles menaces.

Optimiser l’UBA en fonction de critères spécifiques à l’organisation

Pour hiérarchiser les alertes de sécurité en fonction des types d’activité des utilisateurs, il est essentiel de fournir aux systèmes UBA les données adéquates, et de les configurer correctement pendant une période de référence. Au cours de cette dernière, le système collecte des informations sur les utilisateurs et leur comportement ; ensuite, l’algorithme d’apprentissage automatique définit des seuils et des écarts dans lesquels l’activité est considérée comme légitime ou acceptable.

Néanmoins, des entreprises déploient parfois des UBA sur la base de données trop limitées, par exemple le comportement des employés d’un seul service ou sur une période de référence trop courte. Cela augmente alors la quantité de faux positifs et aggrave encore davantage le surmenage des équipes en charge de la sécurité.

Etablir une période de référence trop longue est également à éviter, car cela peut engendrer des activités malveillantes inaperçues. Le temps de référence varie d’une semaine à 90 jours et dépend des spécificités de l’activité des utilisateurs et de l’organisation.

Ainsi, lorsque les types d’information et les facteurs de comportement sont connus, il est possible de mieux définir la période de référence adéquate et de comprendre les raisons, ou les causes, des faux positifs. Par conséquent, les organisations doivent s’assurer de fournir à l’outil UBA les données suffisantes, notamment les journaux d’activités, les entrepôts de données, les flux réseau, ou encore la journalisation des accès et des activités des utilisateurs dans les applications SaaS.

Ensuite, le système UBA corrélera ces données avec les facteurs de comportement de chaque utilisateur, telles que les horaires de travail ou les applications visitées, et développera des profils spécifiques. Ensuite, il est nécessaire d’affiner le système d’analyse des comportements en fonction des types d’anomalies caractéristiques qui posent le plus de risques pour l’organisation et révèlent une attaque en cours, comme des prises de contrôle de compte, une escalade de privilèges ou l’exfiltration de données.

Se concentrer sur les actifs les plus critiques

Pour réduire le nombre d’alertes, les organisations doivent tenir compte des types de données concernés. Seulement, la majorité d’entre elles ne connaissent pas les informations dont elles disposent, et les plus sensibles sont souvent stockées dans des endroits peu sûrs.
Ainsi, selon Gemalto, 65 % des entreprises sont incapables d’analyser toutes les données collectées. Elles ne peuvent donc pas hiérarchiser leurs efforts de sécurité ou prêter plus d’attention aux activités sensibles et confidentielles.

Par conséquent, une autre étape essentielle consiste à établir des processus leur permettant d’identifier automatiquement leurs données sensibles et de les classer. Pour ce faire, la corrélation des informations concernant les anomalies d’activités fournies par un outil UBA avec leur contexte donnera aux équipes IT des informations exploitables pour hiérarchiser les alertes et les efforts de correction.

L’évolution des menaces et les exigences réglementaires croissantes obligent les organisations à mettre en œuvre des outils supplémentaires. Néanmoins, ces derniers engendrent davantage d’alertes, très chronophages à gérer pour les équipes en charge de la sécurité.

La technologie UBA se développe actuellement car elle réduit cette surcharge d’activité et n’agit qu’en cas de problème réel. Cependant, l’UBA ne peut pas remplacer l’élément humain et les équipes IT doivent utiliser le temps gagné en formation et en apprentissage. Elles suivront ainsi le paysage des menaces en constante évolution et sauront s’adapter en conséquence pour pouvoir y faire face.

Did you find apk for android? You can find new Free Android Games and apps.

Auteur
En savoir plus 
Country Manager France
Netwrix
Country Manager France, chez Netwrix
En savoir plus 

Livres blancs A la Une