L’analyse comportementale des utilisateurs : à l’aube d’une nouvelle ère pour la sécurité IT ?

Les cybercriminels disposent de moyens très importants. Ils font preuve d’intelligence, sont bien mieux financés qu’auparavant. Il en résulte des attaques bien plus complexes... et difficiles à détecter.

Les entreprises sont la cible de menaces persistantes avancées (APT) qui démontrent que les hackers sont en avance sur les outils de sécurité. Les attaques de grande ampleur qu’ont récemment subi Sony Pictures, TV5 Monde ou Ashley Madison, étaient très bien préparées et les auteurs de ces attaques ont réussi à rester invisibles des outils de détection pendant longtemps, disposant ainsi d’une liberté de déplacer dans les réseaux ciblés.

Pour les entreprises, il ne s’agit plus de se demander si et quand des cybercriminels vont infiltrer leur réseau. Car si les données de l’entreprise représentent une valeur assez importante à leurs yeux, les hackers continueront d’attaquer jusqu’à pénétrer le réseau. S’ils ne sont pas déjà à l’intérieur de celui-ci… La question à se poser est donc plutôt : sommes-nous capables de détecter les hackers avant que les dégâts ne soient trop importants ?  

Les premiers outils de sécurité des entreprises sont conçus pour protéger contre les menaces externes - et non contre les employés censés être de confiance - ce qui offre un vrai avantage aux utilisateurs internes ayant des objectifs malveillants. Alors même que les attaques ciblées mêlent notamment des vulnérabilités identifiées et de l’ingénierie sociale pour forcer les accès non-autorisés.

 

L’utilisateur est donc le nouveau périmètre sur lequel l’entreprise et la sécurité doivent se concentrer, en renforçant les mesures de sécurité à son encontre.

L’analyse comportementale incarne cette approche de la sécurité IT centrée sur les utilisateurs. Basée sur des solutions (d’UBA - User Behavior Analytics) qui observent ce que les utilisateurs internes et externes font sur le système, l’analyse comportementale permet de détecter les comportements inhabituels. Les solutions d’UBA aident ainsi les entreprises à concentrer leurs ressources de sécurité sur les événements importants, et leur permettent de remplacer certains contrôles pour une plus grande flexibilité et une meilleure efficacité business.

 

L’analyse comportementale va-t-elle sonner le glas des solutions de sécurité traditionnelles ?

Les produits et techniques de sécurité traditionnels se basent sur des modèles pour détecter et arrêter les attaques. Les produits de sécurité préventive sont conçus sur des bases de connaissances des vecteurs d’attaque, parfois étendues avec des capacités heuristiques simples, comme des antivirus ou des produits de défense contre les APT.

Les solutions de surveillance, de type SIEM ou IDS, fonctionnent de la même manière en utilisant des modèles fournis par les éditeurs ou créés par les utilisateurs eux-mêmes. Ces produits peuvent donc uniquement détecter les événements ou attaques pour lesquels ils ont été conçus. Même si l’heuristique peut étendre leurs capacités pour détecter des virus polymorphiques ou des attaques précédemment non-identifiées mais qui utilisent des modèles similaires, il ne permet pas d’adresser des techniques d’attaques jusque là inconnues.

 

La sécurité souffre d’un vrai déséquilibre entre les outils de sécurité qui contrôlent et ceux qui surveillent l’infrastructure IT. Les RSSI se concentrent majoritairement sur la prévention. Ils essayent de comprendre les menaces connues et définir les bons niveaux de confiance à accorder. Ils construisent ainsi de plus en plus de couches de contrôle d’accès, de murs, de politiques de sécurité, et utilisent des modèles et règles prédéfinis pour détecter les menaces. Cependant, construire des murs les plus hauts possibles et ajouter du contrôle, ne permet pas de lutter contre les menaces actuelles. Les récentes attaques le prouvent.

De plus, une stratégie uniquement basée sur le contrôle d’accès, la gestion d’incidents et la gestion d’identités n’est pas viable dans le temps. Faire évoluer son entreprise en utilisant les nouvelles tendances et modèles (outsourcing, Cloud computing ou encore BYOD) nécessite de disposer de ressources importantes et d’instaurer des restrictions incompatibles avec le business au quotidien. Mettre en place des contrôles n’assure pas nécessairement un haut niveau de sécurité et surtout, ne permet pas aux collaborateurs de travailler de manière optimale.

L’analyse comportementale offre exactement cette liberté aux utilisateurs, et dans le même temps, elle permet d’intervenir immédiatement et de réagir si l’un d’entre eux devient une menace pour l’entreprise.

Les solutions d’analyse comportementale fournissent une réelle opportunité pour se défendre contre les APT et autres formes de menaces impliquant les identifiants d’utilisateurs internes. Les outils d’UBA viennent ainsi palier les angles morts des solutions SIEM mais elles ne se substituent pas à elles.

Comment fonctionne l’analyse comportementale?  

Les utilisateurs disposent de l’infrastructure IT de l’entreprise et laissent leurs empreintes un peu partout dans le système. Leurs actions apparaissent dans les logs, dans les pistes d’audit, dans les journaux de modification des applications (changelogs) ou encore dans les solutions de SIEM ou de PAM. Cela représente un volume considérable de données existantes sur lesquelles les solutions d’UBA vont s’appuyer.

La première étape de la démarche est de collecter les informations. L’User Behavior Analytics n’ajoute pas de couches de surveillance - elle collecte et analyse simplement les données existantes.

La plupart des outils d’UBA référencent (dans un journal) les données exactes auxquelles le responsable de la sécurité a eu accès. Les utilisateurs ont donc la garantie que leurs données ont été utilisées pour des raisons de sécurité. De plus, certaines solutions d’UBA sont capables d’implémenter de la pseudonymisation. 

En utilisant les données collectées, il est possible de construire une base de références sur ce qui est “normal” pour chaque utilisateur. Quand sont-ils généralement actifs ? Quels services utilisent-ils et comment ? Etc. Les solutions d’analyse comportementale utilisent différents algorithmes de machine learning pour créer des profils utilisateurs.

   

Une fois cette baseline établie, les outils d’UBA vont être capables de comparer les activités des utilisateurs par rapport à leurs comportements habituels, et ainsi d’identifier en temps réel les comportements inhabituels.

S’il s’agit d’un hacker utilisant un compte piraté ou d’un utilisateur malveillant, l’individu ne va pas interagir avec le système de la même manière qu’un utilisateur normal : il va par exemple accéder à différents serveurs, se loguer depuis des endroits différents à des horaires différents, télécharger plus de données ou des données différentes, etc. En comparant ces activités à la base de références, il est possible de repérer les activités malveillantes au moment même où elles sont réalisées.

En détectant les activités suspectes en temps réel, il devient possible de réagir immédiatement. Des réponses automatisées vont par exemple pouvoir réduire significativement le temps dont dispose un attaquant avant qu’une mesure de défense soit mise en place.  

Dans la plupart des scénarios d’attaque, l’événement impactant intervient après une phase de reconnaissance. Les temps de détection et de réponse pendant cette phase sont donc critiques afin de prévenir une activité réellement malveillante. Les réactions peuvent prendre plusieurs formes, de la simple notification à la suspension du compte en question, et peuvent être appliquées de manière automatique ou humainement pour une évaluation détaillée. 

 

Dans quels cas pratiques l’analyse comportementale des utilisateurs est-elle vraiment efficace ?

L’analyse comportementale n’est pas la solution miracle mais elle reste un outil performant et sophistiqué permettant d’adresser certains des plus importants challenges de sécurité de ces dernières années. L’analyse comportementale permet de détecter les utilisateurs malicieux externes (utilisant des comptes compromis) et les utilisateurs internes malveillants dont les identifiants sont « normaux », tout en améliorant de manière significative l’efficacité des équipes de sécurité en leur fournissant une liste prioritaire des événements de sécurité.

L’analyse comportementale offre de nouvelles perspectives dans l’anticipation et la détection des attaques.