L’analyse du comportement utilisateur, nouvel eldorado de la sécurité
HP a profité de RSA Conference pour présenter sa solution d’analyse du comportement utilisateur. Après des start-ups du domaine distinguées à l’occasion de l’Innovation Sandbox, un nouveau signe de l’émergence d’un domaine très prometteur.
Quel est le point commun entre Fortscale et SentinelOne, finalistes de l’édition 2015 de l’Innovation Sandbox de RSA Conference, et HP ? L’analyse du comportement des utilisateurs, ou User Behavior Analytics (UBA).
En l’occurrence, HP a profité de la dernière édition de RSA Conference pour présenter, la semaine dernière, ArcSight User Behavior Analytics. Cet outil doit permettre de disposer d’une visibilité accrue sur le comportement des utilisateurs et ainsi identifier les menaces liées à ces derniers en découvrant des motifs de comportement anormaux.
Pour produire ce travail d’analyse, la solution de HP s’appuie, comme d’autres, sur les rapports d’activité, les logs, consolidés par le SIEM. D’où le lien avec ArcSight. Mais là où d’autres s’appuient sur des technologies et des algorithmes développés en interne, HP préfère intégrer les outils de Securonix.
Un marché en pleine ébullition
Et le groupe a probablement eu l’embarras du choix, tant ce marché naissant de l’UBA est animé. Dessus, Gartner recense notamment des grands groupes comme BAE systems, IBM, Lockheed Martin, Oracle, Raytheon, ou encore SAS. Mais les plus prometteurs sont peut-être parmi les plus jeunes, comme Exabeam, Fortscale, GuruCul, iDetect, ou encore, donc, SentinelOne. Mais l’on peut également relever SpectorSoft, arrivé sur le marché mi-avril, ou encore Adallom, spécialisé sur la surveillance des accès Cloud.
Il faut reconnaître que les promesses ont de quoi allécher. Dans une étude, le cabinet explique que l’UBA s’appuie sur trois composants – l’analyse de données, l’intégration de données et leur présentation – pour réduire le nombre des alertes de sécurité, remonter les plus importantes, mais également accélérer les enquêtes et réduire les besoins en effectifs. Surtout, l’UBA promet de permettre de détecter les attaques – ou les comportements irrespectueux des règles de sécurité internes – plus vite, et sans interrompre l’activité.
Dans un billet de blog, Saryu Nayyar, Pdg de Gurucul, ne dit rien d’autre : pour elle, l’UBA doit permettre d’aller plus vite dans l’évaluation du risque associé aux comportements « en utilisant le Big Data et des algorithmes de machine learning ». Le tout en quasi-temps réel, en s’appuyant sur les rôles et les titres des utilisateurs consolidés dans les applications des ressources humaines et les annuaires : ces données, ainsi que celles des accès et des activités, « sont corrélées et analysées en fonction des activités passées et actuelles ». Le tout devant permettre d’établir des modèles.
Utiliser l’UBA de manière opérationnelle
Dans une seconde étude, Gartner recommande de commencer modeste « ou avec quelques sources de données essentielles, comme une source d’activité telle que les logs Windows et une source de contexte utilisateur, telle qu’Active Directory », avant de pousser l’intégration plus avant. Cette sélectivité initiale permet de limiter « le bruit de fond » généré.
Mais rapidement, l’UBA mérite d’être exploitée de manière opérationnelle pour alimenter une console de gestion d’alertes. Et Gartner de citer l’exemple d’un important opérateur câble dont l’infrastructure produisait environ 500 000 alertes par jour ; en s’appuyant sur l’outil d’UBA de Bay Dynamics, après six mois, il ne restait plus que 800 alertes, dont 5 à 10 clairement identifiées comme les plus critiques.
Le cabinet mentionne également plusieurs clients d’Adallom ayant identifié les activités d’un logiciel malveillant ou encore celles de pirates, sur leurs applications SaaS, grâce à son offre d’UBA. Les services de NuData sont également mentionnés pour la découverte de tentatives d’attaques et de fraudes.
Des usages multiples
L’analyse comportementale a fait l’objet d’importants efforts dans les services marketing, notamment, au cours des dernières années. Mais elle a aussi trouvé toute son utilisé dans la lutte contre la fraude, pour de nombreux secteurs d’activité. Le rachat de Silver Tail Systems par RSA, en 2012, visait d’ailleurs explicitement ce domaine.
Mais c’est donc sans surprise que l’analyse comportementale gagne aujourd’hui du terrain dans la sécurité des systèmes d’information, pour détecter les menaces internes comme les attaques ciblées.
Fin 2011, Hugh Njemanze, co-fondateur d’ArcSight, relevait toute la pertinence du sujet : « l’analyse et l’identification de schémas comportementaux en sécurité, c’est comme dans le marketing ! On parle là l’algorithmes personnalisés qui cherchent des événements ».
Et aujourd’hui, pour la sauce secrète des spécialistes de l’UBA tient au « machine learning », comme le soulignait récemment dans nos colonnes Idan Tendler, Pdg et co-fondateur de Fortscale, précisant que le Big Data n’apporte finalement que le socle technologique permettant de passer à grande échelle.