Comment optimiser sa sécurité grâce à l'User Behavior Analytics (UBA)

L'analyse du comportement des utilisateurs présente de nombreux avantages, notamment pour détecter et prévenir les piratages qu'ils proviennent de l'extérieur ou de l'intérieur.

Qu’est-ce que l’analyse du comportement des utilisateurs ?

Il n’y a rien de nouveau à utiliser l’analyse pour la protection des données ou la prévention des violations. Les pare-feu, par exemple, analysent le contenu des paquets et d’autres métadonnées, telles que les adresses IP, afin de détecter et empêcher les logiciels malveillants d’entrer. Et les logiciels antivirus analysent en permanence les systèmes de fichiers en y recherchant des logiciels malveillants détectés au moyen de fragments de code et d’autres signes d’infection.

À la différence des pare-feu et des logiciels antivirus, l’analyse du comportement des utilisateurs (User Behavior Analytics ou UBA) porte essentiellement sur ce que fait l’utilisateur : applications lancées, activité du réseau et, de manière particulièrement critique, fichiers consultés (quand un fichier ou un e-mail a été touché, qui l’a touché, les opérations effectuées et leur fréquence).

La technologie UBA détecte les modèles d’utilisation indiquant un comportement inhabituel ou anormal, indépendamment du fait que ces activités proviennent d’un pirate externe ou interne, d’un logiciel malveillant ou d’un autre processus. Alors que l’UBA n’empêchera pas des pirates externes ou internes d’entrer dans votre système, elle peut rapidement détecter leurs agissements et minimiser les dommages.

Oui, l’UBA est un parent proche de la SIEM (Security and Information Event Management, Gestion des Informations et Evénements de Sécurité). La SIEM a traditionnellement mis l’accent sur l’analyse des événements recensés dans les pare-feu, les systèmes d’exploitation et autres journaux système afin de détecter des corrélations intéressantes, habituellement au moyen de règles prédéfinies. Par exemple, plusieurs échecs d’ouverture de session dans un journal pourraient être mis en correspondance avec l’accroissement de trafic réseau sortant enregistré dans un autre journal. La SIEM pourrait décider que c’est le signe de pirates entrant dans le système et enlevant des données.

Car nous le verrons bientôt, en portant l’attention sur les systèmes de périmètre et les journaux du système d’exploitation au lieu de surveiller les données elles-mêmes, qu’il est facile de manquer des pirates internes abusant de leurs droits d'accès, ainsi que l’activité de pirates externes, parce que ces derniers sont devenus très doués pour ressembler à des utilisateurs ordinaires une fois à l’intérieur. C’est là où l’UBA entre en scène. En se concentrant moins sur les événements système, et plus sur les activités spécifiques des utilisateurs, l’UBA peut apprendre les modèles de comportement des utilisateurs et repérer les pirates lorsque leur comportement diffère de celui des utilisateurs légitimes.

Pour ceux qui veulent une définition plus traditionnelle de l’UBA, la société de recherche Gartner propose ce qui suit : « L’analyse du comportement des utilisateurs (UBA) porte sur des sources variables (souvent de type journal, naturellement), mais l’analyse porte sur les utilisateurs, leurs comptes et leurs identités, et non sur les adresses IP ou les hôtes par exemple. Une certaine forme de post-traitement SIEM et DLP où les principales données sources sont constituées de sorties SIEM ou DLP, ainsi que des données et des algorithmes améliorés relatifs à l’identité des utilisateurs caractérisent ces outils. Ainsi, ces outils peuvent recueillir des journaux et des données de contexte eux-mêmes ou depuis un SIEM et utiliser divers algorithmes analytiques pour créer de nouvelles informations à partir de ces données. »

Alors, pourquoi l’UBA ?
 

Bonne question. Pour comprendre pourquoi l’UBA a vu le jour, vous devez prendre en compte les domaines dans lesquels les approches actuelles de la protection des données ont fait défaut. Pour tous ceux qui ont suivi les violations à la une au cours des deux dernières années, c’est presque comme si les pirates avaient reçu les clés de l’entrée principale.

Dans le cas de Snowden ou de WikiLeaks, les pirates disposaient littéralement des clés de l’entrée principale, car ils se trouvaient déjà à l’intérieur. Dans le cas de l’infraction concernant Target, les pirates avaient obtenu ou deviné le mot de passe d’une ouverture de session à distance. Dans le récent incident de l’Office of Personnel Management (le bureau fédéral des ressources humaines de la fonction public américaine), les attaquants ont poussé un employé à télécharger un logiciel malveillant au moyen d’une attaque par phishing.

Défendre l’intérieur contre les utilisateurs légitimes ne fait tout simplement pas partie de l’équation en ce qui concerne la sécurité de périmètre, et les pirates peuvent facilement contourner le périmètre pour s’introduire. Ils sont entrés par des ports publics légitimes (e-mail, Web, ouverture de session) et ont obtenu un accès en tant qu’utilisateurs.

Une fois à l’intérieur, les pirates sont devenus experts dans l’art d’utiliser des logiciels malveillants qui ne sont détectés par aucun logiciel antivirus. Parfois, ils utilisent même des outils d’administrateur système légitimes pour effectuer leur cybertravail.

En fait, pour un administrateur informatique qui surveille simplement l’activité système (en examinant les applications utilisées, les noms d’ouverture de session, etc.) les attaquants apparaissent comme des utilisateurs lambda.

Et c’est pourquoi vous avez besoin de l’UBA !

La technologie de protection orientée périmètre recherche les activités inhabituelles aux mauvais endroits. La nouvelle génération de pirates n’éveille aucun soupçon en accédant aux ports réseau non autorisés ou en utilisant un logiciel comportant des signatures connues.


Indétectable : les malwares et les vecteurs d’attaque contournant la défense de périmètre

Nous savons que les pirates impliqués dans les grandes violations liées à la vente au détail étaient doués pour entrer dans le data center et le quitter tout aussi furtivement.

Mais comment ne se faisaient-ils pas prendre ?

Les techniques des hackers suivent deux étapes : entrer par les points d’accès publics, puis insérer un logiciel malveillant particulièrement conçu qui reste au-dessous du radar. Cette combinaison s’est avérée incroyablement efficace.

Les détails du piratage peuvent être très compliqués, et c’est quelque chose que nous aborderons dans de futurs articles. En attendant, voici un aperçu de leurs techniques.

Entrer inaperçu : mauvais mots de passe, hameçonnage (phishing) et injection SQL

Malheureusement, la découverte de mots de passe constitue toujours pour les pirates une façon très efficace d’entrer dans les systèmes. Elle fonctionne parce que les utilisateurs choisissent trop souvent des mots de passe faciles (une variation de leur nom ou des séquences numériques simples) ou laissent parfois même les mots de passe par défaut des logiciels ou micrologiciels installés (bases de données, routeurs, etc.).

Considérez une découverte de mot de passe réussie comme le cyber-équivalent du crochetage d’une serrure rudimentaire.

Cependant ces dernières années, les pirates sont devenus très doués pour pousser certains employés à les inviter à l’intérieur en leur envoyant un simple courrier électronique (aucune découverte de mot de passe nécessaire). Ce vecteur d’attaque est connu sous le nom de phishing ou hameçonnage.

Pensez au phishing comme une manière de déguiser un e-mail, connu sous le nom de « phish mail », afin qu’il semble être envoyé par une source légitime tel qu’un service de transport urgent. Les pirates réutilisent également les logos officiels de l’entreprise dans le contenu pour rendre le phish mail encore plus convaincant.

Ils comptent sur le fait que l’utilisateur moyen de l’entreprise n’est pas assez informé techniquement pour comprendre la structure sous-jacente des URL. Ainsi, il est facile pour eux de créer des contrefaçons crédibles de l’adresse électronique de l’émetteur. Par exemple, beaucoup d’utilisateurs croiraient probablement que jon@fed3x.com est un employé de Fedex. Pourquoi ? L’adresse semble suffisamment appartenir au domaine légitime, fedex.com.

Une fois trompés, les employés cliquent sur un lien ou une pièce jointe qui lance le logiciel malveillant. Mission accomplie : les pirates se trouvent désormais à l’intérieur.

Une troisième manière d’entrer est l’attaque par injection de code SQL. Elle s’avère similaire au phishing, car elle se lance par un point d’accès public (dans ce cas, un site Web). Dans le cas de l’injection SQL, les attaquants tirent parti d’un code d’application Web défaillant qui ne purge pas les entrées des utilisateurs.

Voici comment cela se produit. Quand un utilisateur entre du texte dans un formulaire Web, il déclenche souvent une requête sur un serveur SQL ayant pour effet de faire remonter l’enregistrement de base de données approprié. Cependant, si la chaîne de caractères entrée n’est pas correctement purgée, il est possible que les pirates insèrent du code SQL malveillant, qui est alors envoyé au serveur sans aucune modification. Le code malveillant donne aux pirates un point d’ancrage à partir duquel ils pourront lancer un interpréteur de commandes ou accéder aux commandes de base du système d’exploitation.

Vol furtif : APT (menaces persistantes avancées) et C2 (commandement et contrôle)

Une fois à l’intérieur, la tâche suivante du pirate consiste à installer un logiciel malveillant doté de capacités administratives de base : au minimum, téléchargement des fichiers, commandes simples et recherche dans les répertoires. Connus sous le nom de « RAT » (remote administrative tool, outil d’administration à distance) ou plus largement sous le nom de « Command and Control » (C2), les logiciels malveillants peuvent être consultés par les pirates depuis leur propre domaine.

Ce n’est pas une idée nouvelle : elle est aussi ancienne que les premiers botnets (réseaux d’ordinateurs zombies). La véritable innovation a été la combinaison des malware C2 et d’une furtivité globale. Le résultat prend la forme de menaces persistantes avancées ou « APT ». Soit dit en passant, c’est une APT de type C2 qui a été mise en œuvre dans la violation géante d’Anthem : l’APT Derusbi.

Comment ces APT fonctionnent-elles ?

Le pirate insère le RAT logique parmi les indispensables DLL système de Windows, où il reste caché. Une fois que la DLL est activée, les pirates peuvent envoyer des commandes et recevoir des résultats.

En outre, le RAT peut communiquer avec un serveur de contrôle central (habituellement dans les limites de son propre domaine légitimement enregistré) via un protocole standard HTTP ou HTTPS. Ils peuvent même se connecter à un faux serveur DNS, qui attend les commandes du RAT cachées dans les protocoles spéciaux du DNS (ce qui a été le cas avec Anthem).

Et voilà. Un logiciel malveillant incorporé à un logiciel standard de Windows et qui communique par l’intermédiaire de connexions Web classiques. C’est très, très difficile à détecter et à bloquer.

Statistiques de violation par piratage

Le Rapport d’enquête sur les compromissions de données de Verizon (Data Breach Investigation Report, DBIR) constitue une formidable source de statistiques sur le piratage. Une donnée suivie au cours de ces dernières années est le temps qu’il faut aux entreprises pour découvrir qu’elles ont été victimes d’une violation. 

La première mauvaise nouvelle est que cette durée s’exprime en mois. La deuxième est que la tendance s’aggrave au lieu de s’améliorer. En 2012, presque 70 % des violations recensées dans l’échantillon de Verizon ont nécessité plusieurs mois avant d’être découvertes. Cela en dit long sur la furtivité des pirates utilisant certaines des techniques exposées plus haut.

Différences entre UBA

Gartner divise les logiciels d’UBA en deux grandes catégories : ceux qui s’appuient sur des règles d’analyse « prédéfinies » pour détecter des comportements anormaux, et ceux qui fondent leurs analyses sur des modèles dynamiques ou personnalisés.

Par exemple, avec une règle prédéfinie, un administrateur peut décider de déclencher une notification si un fichier sensible est consulté les week-ends entre minuit et 5 h du matin.

Dans le cas des règles purement dynamiques, le moteur UBA sous-jacent décide de ce qui est normal (voir ci-dessous) et détecte les activités qui sortent de cette plage. En d’autres termes, le moteur crée ses propres règles internes.

Évidemment, l’UBA doit simultanément tenir compte des règles prédéfinies et dynamiques. Mais n’oubliez pas qu’un logiciel d’UBA se fondant uniquement sur des règles prédéfinies exigerait un administrateur de sécurité informatique doué d’un formidable instinct en ce qui concerne les manigances des pirates. Et peu d’administrateurs possèdent de tels pouvoirs magiques.

Une autre dimension d’un logiciel d’UBA est la source des données sous-jacentes. Certaines solutions d’UBA mettent principalement l’accent sur l’activité du réseau et du périmètre (ouvertures de sessions, applications, événements). D’autres variantes d’UBA se focaliseront sur des métadonnées plus granulaires du système lui-même, telles que l’activité des utilisateurs sur les fichiers et le courrier électronique.

Comme je l’ai précisé ci-dessus, l’inconvénient d’une approche purement orientée réseau ou systèmes se traduit par la difficulté à détecter les pirates qui sont entrés par e-mail ou par injection et ont ensuite volé les informations d’identification d’utilisateurs existants. À moins de disposer d’informations d’UBA. À un haut niveau, l’utilisation des ouvertures de sessions et des applications ne semblera pas sortir de l’ordinaire.

Les variantes d’UBA qui examinent l’activité des utilisateurs relative aux fichiers et aux e-mails auront de bien meilleures chances de repérer ce type d’attaques. Le point clé est qu’à un certain moment, le pirate camouflé en utilisateur légitime essaiera de rechercher et de copier de fichiers contenant des données sensibles, et voici notre mine d’or.

Qu’appelle-t-on « normal » ?

L’UBA est fondée sur l’idée de savoir ce que font les utilisateurs d’un système (activités et modèles d’accès aux fichiers). Finalement, le logiciel crée un profil qui décrit ce que cela signifie d’être cet utilisateur. Ainsi, quand un pirate vole les informations d’identification de l’utilisateur et accède à des données que celui-ci visite rarement, son activité diffère du profil.

Pour que l’ensemble fonctionne, l’UBA doit recenser des informations sur l’utilisateur pour disposer d’une moyenne ou d’une mesure de son comportement normal. On peut dire que le logiciel d’UBA doit effectuer un apprentissage pour identifier le comportement normal, habituellement en analysant les journaux d’activité et les accès aux fichiers, les ouvertures de session et l’activité réseau sur une durée prolongée.

Si vous pensez que certaines techniques de classification et de prédiction de l’analyse Big Data (plus proche voisin, régressions, analyse bayésienne) sont appropriées pour l’UBA, vous avez raison. Mais indépendamment de la méthode précise employée, l’analyse établira une ligne de référence à partir de laquelle il sera possible de prédire ce qui est normal et ce qui ne l’est pas.

Que rechercher dans une UBA  

Tous les logiciels d’UBA ne sont pas égaux. Comme je l’ai suggéré auparavant, une UBA prenant uniquement en charge des règles prédéfinies et une analyse de périmètre ne pourra pas suivre le rythme de pirates intelligents. L’UBA ayant accès à l’activité granulaire relative aux fichiers et au courrier électronique bénéficie de meilleures chances. Rappelez-vous : les fichiers et les e-mails constituent souvent la cible des cybervoleurs, et à un certain point, ils se précipiteront pour obtenir ces données.

Voici une liste de fonctionnalités essentielles des logiciels d’UBA capables de contenir la nouvelle génération de pirates : 

o   Traiter de grands volumes d’activité des utilisateurs en ce qui concerne les fichiers et le courrier électronique. Les systèmes de fichiers sont énormes et les données sensibles peuvent être disséminées comme la proverbiale aiguille dans une meule de foin. Pour détecter les pirates, le moteur d’UBA doit pouvoir effectuer des recherches et analyser les principales métadonnées et l’activité d’un grand nombre d’utilisateurs sur des volumes de données énormes.

o   Déterminer une ligne de référence des activités « normales » d’accès aux fichiers et au courrier électronique. Vous aurez besoin de données d’historique sur les activités de vos collaborateurs. Le moteur d’UBA doit donc avoir une connaissance intime des métadonnées des fichiers (temps d’accès, utilisateurs, permissions, etc.). Seule l’analyse granulaire et au niveau des événements de l’activité relative aux fichiers et à la messagerie peut permettre aux prédictions et au logiciel autoapprenant sous-jacent de l’UBA de produire des profils précis du comportement moyen des utilisateurs. Celui-ci pourra alors déterminer avec précision si un pirate externe ou interne a pris le contrôle du compte d’un employé.

o   Alertes en temps réel. Le logiciel d’UBA doit pouvoir suivre en temps réel les activités relatives aux fichiers sur l’ensemble d’une vaste population d’utilisateurs. Ses algorithmes de détection de pirates doivent également prendre des décisions en temps quasi réel et non à la fin de la journée. Le créneau temporel pendant lequel un fichier est touché et des données sensibles sont copiées peut être restreint. C’est pourquoi le logiciel d’UBA doit pouvoir réagir rapidement. 

Bref, a chaque entreprise de choisir avec attention le modèle d'UBA qui lui correspond et qui répondra le mieux à ses besoins.

Autour du même sujet