Les solutions d'analyse du comportement des utilisateurs et des entités (UEBA) sont conçues pour identifier les menaces de cybersécurité sur la base d'un comportement anormal. Une fois que la solution a bien compris comment les systèmes d'une organisation fonctionnent normalement, elle peut identifier les déviations qui peuvent indiquer des menaces potentielles. Par exemple, des téléchargements massifs et anormaux de données provenant d'une base de données d'entreprise peuvent indiquer qu'une violation de données est en cours.
Une solution UEBA est déployée sur l'ensemble du réseau d'une organisation. Pendant un certain temps après son déploiement, la solution UEBA surveille un appareil et établit un profil d'utilisation normale. Cela inclut les activités des différents utilisateurs de cet appareil. Au bout d'un certain temps, l'UEBA dispose d'un bon modèle de ce qui est considéré comme un comportement normal ou anormal. À ce stade, il peut passer du mode apprentissage au mode actif.
En mode actif, la solution UEBA surveille diverses actions et les évalue sur la base de son modèle de comportement normal. S'il observe une activité anormale, il peut alerter un administrateur et éventuellement déclencher une réponse destinée à bloquer la menace potentielle.
Par exemple, un utilisateur de l'organisation peut passer la majeure partie de sa journée de travail à éditer des documents et à naviguer sur Internet. Si leur compte commence soudainement à envoyer des requêtes à d'autres systèmes et à explorer le réseau, la solution UEBA peut déclencher une alerte. Si ce changement d'activité peut être bénin, il peut également indiquer que les informations d'identification de l'utilisateur ont été compromises par un pirate. Si c'est le cas, l'avertissement fourni par la solution UEBA donne à l'organisation la possibilité de résoudre le problème.
Si un pirate a accès au compte d'un utilisateur, il n'aura peut-être pas besoin d'utiliser le logiciel malveillant et d'autres techniques similaires pour atteindre ses objectifs. Cela peut poser des problèmes à certaines solutions de sécurité conçues pour détecter ce type de contenu malveillant.
Cependant, un attaquant est susceptible de prendre des mesures qui s'écartent de la norme pour atteindre ses objectifs. Par exemple, une violation de données ne peut être effectuée sans accès aux données, et le logiciel rançonneur implique un grand nombre d'opérations sur les fichiers. Une solution UEBA peut identifier et signaler ces activités déviantes, ce qui permet aux organisations de détecter les attaques en l'absence de logiciel malveillant ou de contenu malveillant.
L'UEBA offre de nombreux avantages au centre des opérations de sécurité (SOC) d'une organisation, notamment les suivants :
L'UEBA et l'analyse du trafic réseau (NTA) - également appelée détection et réponse réseau (NDR) - peuvent toutes deux identifier certaines des mêmes menaces et utilisent des techniques similaires, telles que l'apprentissage machine et l'analyse de données. Toutefois, il ne s'agit pas de la même solution. Par exemple, NTA peut fournir une visibilité plus large des événements sur le réseau d'une organisation, et pas seulement de ceux qui sont qualifiés d'anormaux. D'autre part, les solutions UEBA offrent une visibilité sur les événements locaux sur les appareils surveillés, tandis que NTA n'a qu'une visibilité sur les événements au niveau du réseau.
Les solutions UEBA et SIEM (Gestion de l'information et des événements de sécurité) utilisent toutes deux l'apprentissage machine et l'analyse de données pour identifier les menaces. Il s'agit toutefois de solutions différentes, conçues pour identifier des types de menaces différents.
En général, les solutions SIEM (Gestion de l'information et des événements de sécurité) sont plus à même d'identifier des menaces ponctuelles moins sophistiquées et sont axées sur la gestion de la sécurité. Cependant, ils peuvent manquer de visibilité sur des campagnes d'attaques plus sophistiquées et plus subtiles.
Les solutions UEBA, quant à elles, se concentrent davantage sur l'établissement de profils d'utilisateurs et d'appareils et sur la recherche de déviations par rapport à ces profils. Cela leur permet d'identifier des attaques plus subtiles et de détecter des menaces d'initiés qu'un SIEM (Gestion de l'information et des événements de sécurité) pourrait manquer.
Une solution UEBA offre des capacités précieuses qui complètent d'autres solutions dans la pile de sécurité d'une organisation. En détectant et en signalant les comportements anormaux qui pourraient être liés à une attaque potentielle, l'UEBA permet à l'équipe de sécurité d'une organisation de détecter les menaces internes et d'autres attaques qui pourraient échapper à d'autres solutions axées sur l'identification et le blocage des contenus malveillants.
Les fonctionnalités de l'UEBA devraient faire partie de la plateforme de sécurité intégrée de l'entreprise. Point de contrôle Infinity XDR (détection et réponse étendues) offre l’UEBA ainsi qu’une gamme d’autres fonctionnalités de sécurité. Découvrez la gamme complète des fonctionnalités d'Infinity XDR dans cette fiche de solution. Ensuite, pour en savoir plus sur la façon dont Infinity XDR peut aider à protéger votre organisation contre les menaces de sécurité avancées, inscrivez-vous à une démo gratuite dès aujourd’hui.