Comment optimiser sa sécurité grâce à l'User Behavior Analytics (UBA)
L'analyse du comportement des utilisateurs présente de nombreux avantages, notamment pour détecter et prévenir les piratages qu'ils proviennent de l'extérieur ou de l'intérieur.
Qu’est-ce que l’analyse du comportement des utilisateurs ?Il n’y a rien de nouveau à utiliser l’analyse pour la protection des données ou la prévention des violations. Les pare-feu, par exemple, analysent le contenu des paquets et d’autres métadonnées, telles que les adresses IP, afin de détecter et empêcher les logiciels malveillants d’entrer. Et les logiciels antivirus analysent en permanence les systèmes de fichiers en y recherchant des logiciels malveillants détectés au moyen de fragments de code et d’autres signes d’infection.
À la différence des pare-feu et
des logiciels antivirus, l’analyse du comportement des utilisateurs (User Behavior Analytics ou UBA) porte essentiellement sur ce que fait
l’utilisateur : applications lancées, activité du réseau et, de
manière particulièrement critique, fichiers consultés (quand un fichier ou un
e-mail a été touché, qui l’a touché, les opérations effectuées et leur
fréquence).
La technologie UBA détecte les
modèles d’utilisation indiquant un comportement inhabituel ou anormal,
indépendamment du fait que ces activités proviennent d’un pirate externe ou
interne, d’un logiciel malveillant ou d’un autre processus. Alors
que l’UBA n’empêchera pas des pirates externes ou internes d’entrer dans votre
système, elle peut rapidement détecter leurs agissements et minimiser les dommages.
Oui, l’UBA est un parent proche
de la SIEM (Security and Information Event Management, Gestion des Informations
et Evénements de Sécurité). La SIEM a traditionnellement mis l’accent sur
l’analyse des événements recensés dans les pare-feu, les systèmes
d’exploitation et autres journaux système afin de détecter des corrélations
intéressantes, habituellement au moyen de règles prédéfinies. Par
exemple, plusieurs échecs d’ouverture de session dans un journal pourraient
être mis en correspondance avec l’accroissement de trafic réseau sortant
enregistré dans un autre journal. La SIEM pourrait décider que c’est le signe de
pirates entrant dans le système et enlevant des données.
Car nous le verrons bientôt, en
portant l’attention sur les systèmes de périmètre et les journaux du système
d’exploitation au lieu de surveiller les données elles-mêmes, qu’il est facile
de manquer des pirates internes abusant de leurs droits d'accès, ainsi que
l’activité de pirates externes, parce que ces derniers sont devenus très doués
pour ressembler à des utilisateurs ordinaires une fois à l’intérieur. C’est
là où l’UBA entre en scène. En se concentrant moins sur les événements système,
et plus sur les activités spécifiques des utilisateurs, l’UBA peut apprendre
les modèles de comportement des utilisateurs et repérer les pirates lorsque
leur comportement diffère de celui des utilisateurs légitimes.
Pour ceux qui veulent une
définition plus traditionnelle de l’UBA, la société de recherche Gartner
propose ce qui suit : « L’analyse du comportement des utilisateurs (UBA)
porte sur des sources variables (souvent de type journal, naturellement), mais
l’analyse porte sur les utilisateurs, leurs comptes et leurs identités, et non
sur les adresses IP ou les hôtes par exemple. Une certaine forme de post-traitement SIEM et DLP
où les principales données sources sont constituées de sorties SIEM ou DLP,
ainsi que des données et des algorithmes améliorés relatifs à l’identité des
utilisateurs caractérisent ces outils. Ainsi, ces outils peuvent recueillir des journaux
et des données de contexte eux-mêmes ou depuis un SIEM et utiliser divers
algorithmes analytiques pour créer de nouvelles informations à partir de ces
données. »
Alors, pourquoi l’UBA ?
Bonne question. Pour comprendre pourquoi l’UBA a vu le jour, vous devez prendre en compte les domaines dans lesquels les approches actuelles de la protection des données ont fait défaut. Pour tous ceux qui ont suivi les violations à la une au cours des deux dernières années, c’est presque comme si les pirates avaient reçu les clés de l’entrée principale.
Dans le cas de Snowden ou de
WikiLeaks, les pirates disposaient littéralement des clés de l’entrée
principale, car ils se trouvaient déjà à l’intérieur. Dans le
cas de l’infraction concernant Target, les pirates avaient obtenu ou deviné le
mot de passe d’une ouverture de session à distance. Dans le
récent incident de l’Office of Personnel Management (le bureau fédéral des
ressources humaines de la fonction public américaine), les attaquants ont poussé un
employé à télécharger un logiciel malveillant au moyen d’une attaque par
phishing.
Défendre l’intérieur contre les utilisateurs légitimes ne fait tout simplement pas partie de l’équation en ce qui concerne la sécurité de périmètre, et les pirates peuvent facilement contourner le périmètre pour s’introduire. Ils sont entrés par des ports publics légitimes (e-mail, Web, ouverture de session) et ont obtenu un accès en tant qu’utilisateurs.
Une fois à l’intérieur, les
pirates sont devenus experts dans l’art d’utiliser des logiciels malveillants
qui ne sont détectés par aucun logiciel antivirus. Parfois,
ils utilisent même des outils d’administrateur système légitimes pour effectuer
leur cybertravail.
En fait, pour un administrateur
informatique qui surveille simplement l’activité système (en examinant les
applications utilisées, les noms d’ouverture de session, etc.) les attaquants
apparaissent comme des utilisateurs lambda.
Et c’est pourquoi vous avez
besoin de l’UBA !
La technologie de protection
orientée périmètre recherche les activités inhabituelles aux mauvais endroits. La
nouvelle génération de pirates n’éveille aucun soupçon en accédant aux ports
réseau non autorisés ou en utilisant un logiciel comportant des signatures
connues.
Indétectable : les malwares et les vecteurs d’attaque contournant
la défense de périmètre
Nous savons que les pirates impliqués dans les grandes violations liées à la vente au détail étaient doués pour entrer dans le data center et le quitter tout aussi furtivement.
Mais comment ne se faisaient-ils pas prendre ?
Les techniques des hackers suivent deux étapes : entrer
par les points d’accès publics, puis insérer un logiciel malveillant particulièrement
conçu qui reste au-dessous du radar. Cette combinaison s’est avérée
incroyablement efficace.
Les détails du piratage peuvent
être très compliqués, et c’est quelque chose que nous aborderons dans de futurs
articles. En
attendant, voici un aperçu de leurs techniques.
Entrer inaperçu : mauvais mots de passe, hameçonnage
(phishing) et injection SQL
Pensez au phishing comme une manière de déguiser un e-mail, connu sous le nom de « phish mail », afin qu’il semble être envoyé par une source légitime tel qu’un service de transport urgent. Les pirates réutilisent également les logos officiels de l’entreprise dans le contenu pour rendre le phish mail encore plus convaincant.
Ils comptent sur le fait que l’utilisateur moyen de l’entreprise n’est pas assez informé techniquement pour comprendre la structure sous-jacente des URL. Ainsi, il est facile pour eux de créer des contrefaçons crédibles de l’adresse électronique de l’émetteur. Par exemple, beaucoup d’utilisateurs croiraient probablement que jon@fed3x.com est un employé de Fedex. Pourquoi ? L’adresse semble suffisamment appartenir au domaine légitime, fedex.com.
Une fois trompés, les employés cliquent sur un lien ou une pièce jointe qui lance le logiciel malveillant. Mission accomplie : les pirates se trouvent désormais à l’intérieur.
Une troisième manière d’entrer est l’attaque par injection de code SQL. Elle s’avère similaire au phishing, car elle se lance par un point d’accès public (dans ce cas, un site Web). Dans le cas de l’injection SQL, les attaquants tirent parti d’un code d’application Web défaillant qui ne purge pas les entrées des utilisateurs.
Voici comment cela se produit. Quand un utilisateur entre du texte dans un formulaire Web, il déclenche souvent une requête sur un serveur SQL ayant pour effet de faire remonter l’enregistrement de base de données approprié. Cependant, si la chaîne de caractères entrée n’est pas correctement purgée, il est possible que les pirates insèrent du code SQL malveillant, qui est alors envoyé au serveur sans aucune modification. Le code malveillant donne aux pirates un point d’ancrage à partir duquel ils pourront lancer un interpréteur de commandes ou accéder aux commandes de base du système d’exploitation.
Vol furtif : APT (menaces persistantes avancées) et
C2 (commandement et contrôle)
Comment ces APT fonctionnent-elles ?
Le pirate insère le RAT logique parmi les indispensables DLL système de Windows, où il reste caché. Une fois que la DLL est activée, les pirates peuvent envoyer des commandes et recevoir des résultats.
En outre, le RAT peut communiquer avec un serveur de contrôle central (habituellement dans les limites de son propre domaine légitimement enregistré) via un protocole standard HTTP ou HTTPS. Ils peuvent même se connecter à un faux serveur DNS, qui attend les commandes du RAT cachées dans les protocoles spéciaux du DNS (ce qui a été le cas avec Anthem).
Et voilà. Un logiciel malveillant incorporé à un logiciel standard de Windows et qui communique par l’intermédiaire de connexions Web classiques. C’est très, très difficile à détecter et à bloquer.
Statistiques
de violation par piratage
Le Rapport d’enquête sur les compromissions de données de Verizon (Data Breach Investigation Report, DBIR) constitue une formidable source de statistiques sur le piratage. Une donnée suivie au cours de ces dernières années est le temps qu’il faut aux entreprises pour découvrir qu’elles ont été victimes d’une violation.
La première mauvaise nouvelle est
que cette durée s’exprime en mois. La deuxième est que la tendance s’aggrave au lieu de
s’améliorer. En 2012, presque 70 % des violations recensées dans
l’échantillon de Verizon ont nécessité plusieurs mois avant d’être découvertes.
Cela en dit long sur la furtivité des pirates utilisant certaines des
techniques exposées plus haut.
Différences entre UBA
Gartner divise les logiciels d’UBA en deux grandes catégories : ceux qui s’appuient sur des règles d’analyse « prédéfinies » pour détecter des comportements anormaux, et ceux qui fondent leurs analyses sur des modèles dynamiques ou personnalisés.
Par exemple, avec une règle
prédéfinie, un administrateur peut décider de déclencher une notification si un
fichier sensible est consulté les week-ends entre minuit et 5 h du matin.
Dans le cas des règles purement
dynamiques, le moteur UBA sous-jacent décide de ce qui est normal (voir
ci-dessous) et détecte les activités qui sortent de cette plage. En
d’autres termes, le moteur crée ses propres règles internes.
Évidemment, l’UBA doit
simultanément tenir compte des règles prédéfinies et dynamiques. Mais
n’oubliez pas qu’un logiciel d’UBA se fondant uniquement sur des règles
prédéfinies exigerait un administrateur de sécurité informatique doué d’un
formidable instinct en ce qui concerne les manigances des pirates. Et peu
d’administrateurs possèdent de tels pouvoirs magiques.
Une autre dimension d’un logiciel
d’UBA est la source des données sous-jacentes. Certaines solutions d’UBA mettent
principalement l’accent sur l’activité du réseau et du périmètre (ouvertures de
sessions, applications, événements). D’autres variantes d’UBA se focaliseront
sur des métadonnées plus granulaires du système lui-même, telles que l’activité
des utilisateurs sur les fichiers et le courrier électronique.
Comme je l’ai précisé ci-dessus,
l’inconvénient d’une approche purement orientée réseau ou systèmes se traduit
par la difficulté à détecter les pirates qui sont entrés par e-mail ou par injection
et ont ensuite volé les informations d’identification d’utilisateurs existants.
À moins de disposer d’informations d’UBA. À un haut niveau, l’utilisation des
ouvertures de sessions et des applications ne semblera pas sortir de
l’ordinaire.
Les variantes d’UBA qui examinent
l’activité des utilisateurs relative aux fichiers et aux e-mails auront de bien
meilleures chances de repérer ce type d’attaques. Le point clé est qu’à un certain moment,
le pirate camouflé en utilisateur légitime essaiera de rechercher et de copier
de fichiers contenant des données sensibles, et voici notre mine d’or.
Qu’appelle-t-on « normal » ?
L’UBA est fondée sur l’idée de savoir ce que font les utilisateurs d’un système (activités et modèles d’accès aux fichiers). Finalement, le logiciel crée un profil qui décrit ce que cela signifie d’être cet utilisateur. Ainsi, quand un pirate vole les informations d’identification de l’utilisateur et accède à des données que celui-ci visite rarement, son activité diffère du profil.
Pour que l’ensemble fonctionne,
l’UBA doit recenser des informations sur l’utilisateur pour disposer d’une
moyenne ou d’une mesure de son comportement normal. On peut
dire que le logiciel d’UBA doit effectuer un apprentissage pour identifier le
comportement normal, habituellement en analysant les journaux d’activité et les
accès aux fichiers, les ouvertures de session et l’activité réseau sur une
durée prolongée.
Si vous pensez que certaines
techniques de classification et de prédiction de l’analyse Big Data (plus
proche voisin, régressions, analyse bayésienne) sont appropriées pour l’UBA,
vous avez raison. Mais indépendamment de la méthode précise employée,
l’analyse établira une ligne de référence à partir de laquelle il sera possible
de prédire ce qui est normal et ce qui ne l’est pas.
Que rechercher dans une UBA
Tous les logiciels d’UBA ne sont pas égaux. Comme je l’ai suggéré auparavant, une UBA prenant uniquement en charge des règles prédéfinies et une analyse de périmètre ne pourra pas suivre le rythme de pirates intelligents. L’UBA ayant accès à l’activité granulaire relative aux fichiers et au courrier électronique bénéficie de meilleures chances. Rappelez-vous : les fichiers et les e-mails constituent souvent la cible des cybervoleurs, et à un certain point, ils se précipiteront pour obtenir ces données.
Voici une liste de fonctionnalités essentielles des logiciels d’UBA capables de contenir la nouvelle génération de pirates :
o Traiter de grands volumes d’activité des utilisateurs en ce qui concerne les fichiers et le courrier électronique. Les systèmes de fichiers sont énormes et les données sensibles peuvent être disséminées comme la proverbiale aiguille dans une meule de foin. Pour détecter les pirates, le moteur d’UBA doit pouvoir effectuer des recherches et analyser les principales métadonnées et l’activité d’un grand nombre d’utilisateurs sur des volumes de données énormes.
o Déterminer une ligne de référence des activités « normales » d’accès aux fichiers et au courrier électronique. Vous aurez besoin de données d’historique sur les activités de vos collaborateurs. Le moteur d’UBA doit donc avoir une connaissance intime des métadonnées des fichiers (temps d’accès, utilisateurs, permissions, etc.). Seule l’analyse granulaire et au niveau des événements de l’activité relative aux fichiers et à la messagerie peut permettre aux prédictions et au logiciel autoapprenant sous-jacent de l’UBA de produire des profils précis du comportement moyen des utilisateurs. Celui-ci pourra alors déterminer avec précision si un pirate externe ou interne a pris le contrôle du compte d’un employé.
o Alertes en temps réel. Le logiciel d’UBA doit pouvoir suivre en temps réel les activités relatives aux fichiers sur l’ensemble d’une vaste population d’utilisateurs. Ses algorithmes de détection de pirates doivent également prendre des décisions en temps quasi réel et non à la fin de la journée. Le créneau temporel pendant lequel un fichier est touché et des données sensibles sont copiées peut être restreint. C’est pourquoi le logiciel d’UBA doit pouvoir réagir rapidement.
Bref, a chaque entreprise de choisir avec attention le modèle d'UBA qui lui correspond et qui répondra le mieux à ses besoins.