Christian Have, LogPoint : « chaque capacité d’UEBA ajoute du contexte dans le SIEM »
Le chef de produits de l’éditeur, qui a lui-même développé son propre moteur d’analyse comportementale, se penche sur la manière dont cette technologie s’impose dans un éventail croissant de solutions de sécurité.
Il y a quatre ans, l’analyse comportementale appliquée à la sécurité était sur toutes les lèvres. Un nouvel eldorado avec ses porte-étendards, dont Fortscale, finaliste de l’Innovation Sandbox de l’édition 2015 de RSA Conference. Le marché était encombré par une multitude d’acteurs misant tantôt sur l’analyse des journaux d’activité, tantôt sur celle des points de terminaison de l’infrastructure à partir d’agents résidents, tantôt sur le trafic réseau (NTA, Network Trafic Analytics). Mais ce temps semble désormais bien loin. Gartner anticipe la disparition de l’analyse comportementale comme marché isolé à l’horizon 2021. A travers une série d’articles, nous vous proposons de découvrir le regard que portent plusieurs experts sur cette évolution.
LeMagIT : L’intérêt d'intégrer un moteur d’analyse comportementale à un système de gestion des informations et des événements de sécurité apparaît évident. Mais l’analyse comportementale s’invite partout, de la détection des menaces sur les hôtes (EDR) jusqu’aux passerelles d’accès Cloud sécurité (CASB), en passant par la gestion des accès et des identités (IAM) et la prévention des fuites de données (DLP). Ce n'est pas un peu trop ?
Christian Have : L'UEBA est une capacité fantastique qui a toute sa place dans toutes sortes de technologies. C'est pourquoi l'avoir dans de nombreux domaines et en particulier dans le SIEM est pertinent : grâce à la présence de l’UEBA dans des outils spécifiques, vous pouvez identifier, avec un haut degré de connaissance du domaine, exactement ce qui est anormal et ce qui ne l'est pas. La présence de l'UEBA dans l'EDR et le CASB permet à ces systèmes de bloquer et d'alerter sur les observations. Les SIEM sont le dernier kilomètre de l'analyse.
Les alertes provenant de capacités d'UEBA hors du SIEM ne font qu'ajouter du contexte à ce qui est observé dans le SIEM ; ce n'est certainement pas l'un ou l'autre !
LeMagIT : N’y a-t-il pas un risque de passer à côté de quelque chose si l’on enchaîne les moteurs d’analyse comportementale appliqués à différents sous-ensembles de données et que l’on se contente de s’intéresser aux alertes qu’ils génèrent ?
Christian Have : Avoir plus de faux positifs est, bien sûr, un problème. Mais les moteurs ne sont pas enchaînés. Notre moteur d’analyse comportementale examine peut-être 50 ou 100 plate-formes et applications différentes au sein d'un réseau client, et c'est le total qui donne de la lumière aux indications.
LeMagIT : En fin de compte, que recommanderiez-vous comme mise en œuvre ?
Christian Have : Les capacités d’analyse comportementale présentes dans différents outils spécifiques ont l’avantage de permettre de bloquer automatiquement des menaces, comme dans un système de prévention d’intrusion (IPS), par opposition à un système de détection d’intrusion (IDS). L’UEBA intégrée au SIEM est ce qui permet à l'analyste de hiérarchiser ce qui est observé dans les différentes sources de données avec plus de précision et de rapidité. Il est donc certainement bénéfique pour l'analyste de comprendre l'étendue totale des menaces bloquées par des capacités d’UEBA locales, et des menaces observées par l'UEBA piloté par le SIEM.