Blog

blog log360 analyse comportementale. 600 200png

Le dictionnaire Collin définit le "modèle de comportement" comme une manière récurrente d'agir d'un individu ou d'un groupe envers un objet donné ou dans une situation donnée. L'analyse et la compréhension des schémas comportementaux des individus se sont avérées apporter des solutions poussées à des problèmes dans différents domaines de la vie, y compris la cybersécurité.

Lorsqu'il s'agit pour les entreprises de lutter contre les cybermenaces, les solutions de sécurité traditionnelles basées sur des règles ne peuvent pas fournir de visibilité sur des cyberattaques de plus en plus sophistiquées. Nous constatons ce schéma dans les brèches réussies qui se produisent quotidiennement. De plus, dans le processus de détection rapide et de remédiation des menaces de sécurité, les outils de sécurité traditionnels ont tendance à submerger les analystes de sécurité avec des alertes sans contexte.

C'est là que l'analyse du comportement des utilisateurs et des entités (user and entity behavior analytics / UEBA) offre une solution plus efficace. Une solution UEBA orchestre des analyses avancées grâce à l'enrichissement des données, la science des données et l'apprentissage automatique pour lutter contre les menaces avancées. Grâce à ce processus, l'UEBA produit un volume moindre d'alertes qui sont plus précises et réduit le nombre de faux positifs. L'incorporation de l'analyse comportementale dans votre solution SIEM permet d'aborder le paysage des menaces de sécurité anormales et avancées, parallèlement à la détection traditionnelle des menaces basée sur des règles.

 Examinons quelques cas d'utilisation où l'analyse comportementale joue un rôle important dans la détection des attaques.

Différencier les comportements normaux et malveillants

Ce n'est un secret pour personne que les menaces internes constituent l'une des nombreuses sources de perte de données sensibles. Dans ce cas, l'acteur de la menace est un initié malveillant ou qui a été compromis. La détection des menaces internes peut s'avérer difficile, car la plupart des outils de sécurité ne peuvent pas différencier un utilisateur légitime d'un acteur potentiellement malveillant.

Dans ce cas, une solution UEBA détecte les utilisateurs effectuant des activités suspectes qui sortent de leurs activités habituelles. L'analyse du comportement prend en compte l'historique du comportement d'un utilisateur particulier et détecte les activités anormales telles que :

  • Connexions à des heures inhabituelles, à des fréquences inhabituelles, à partir d'endroits inhabituels et accès à des données ou systèmes inhabituels, tels que les serveurs SQL.
  • Sur des systèmes critiques, des changements dans les droits privilégiés
  • Accès non autorisé aux comptes d'utilisateurs
  • Tentatives d'exfiltration de données par la corrélation d'événements apparemment sans rapport, tels que la connexion à une heure inhabituelle, l'accès à une base de données de serveur SQL et l'insertion d'une clé USB.

Détection rapide et précise des actifs compromis

En matière de cyberattaques, les systèmes, hôtes, comptes ou appareils font partie des actifs initialement visés. Les acteurs de menaces malveillantes peuvent opérer sans être détectés dans le réseau de votre entreprise pendant des semaines, voire des mois. Grâce à l'analyse comportementale, la détection des menaces de sécurité telles que les dispositifs compromis devient plus facile, plus précise et beaucoup plus rapide.

Dans ce cas, la solution UEBA détecte les activités anormales en surveillant le comportement des entités de votre entreprise. La solution surveille :

  • Comptes d'utilisateurs privilégiés pour la compromission
  • Serveurs pour les activités qui s'écartent de la ligne de base normale
  • Comportement anormal en temps réel, comme l'augmentation du trafic dans les périphériques réseau, notamment les périphériques Windows, les routeurs et les pare-feu

Détecter les tentatives d'exfiltration de données

L'exfiltration de données se produit lorsque des données sensibles sont transférées hors de l'entreprise sans autorisation. Cela peut se produire lorsqu'un utilisateur malveillant transfère des données en copiant leur contenu sur un dispositif physique ou sur Internet. Elle peut également se produire par le biais d'infections de logiciels malveillants dans les systèmes de votre entreprise.

  Dans ce cas, la solution UEBA surveille les périphériques réseau, détecte et fournit des alertes en temps réel pour les événements suspects tels que :

  • Installation de logiciels inhabituels sur certains appareils
  • Téléchargements inhabituels ou accès à des données sensibles
  • Des quantités inhabituelles de trafic réseau qui pourraient être le signe d'un transfert de données important, en contradiction avec la ligne de base normale de l'utilisateur ou de la machine qui transfère les données.

Les attaques actuelles étant de plus en plus sophistiquées et les menaces pour la sécurité émanant à la fois de l'extérieur et de l'intérieur du réseau, votre entreprise a besoin d'une solution de sécurité capable de détecter et d'atténuer les menaces inhabituelles. Une solution UEBA peut s'adapter rapidement à l'environnement de votre entreprise en apprenant et en analysant le comportement de vos utilisateurs et entités, et vous alerter sur les activités anormales qui s'écartent de la norme. Elle vous aide également à vous préparer aux menaces inhabituelles, qu'elles proviennent de personnes internes ou externes malveillantes.

Esther Christopher, Product Marketing Specialist