Vincent Dely, Digital Guardian : « l’UEBA aide l’analyste à prioriser ses actions »
L’architecte solutions EMEA de Digital Guardian, se penche sur la manière dont l’analyse comportementale s’impose dans un éventail croissant de solutions de sécurité.
Il y a quatre ans, l’analyse comportementale appliquée à la sécurité était sur toutes les lèvres. Un nouvel eldorado avec ses porte-étendards, dont Fortscale, finaliste de l’Innovation Sandbox de l’édition 2015 de RSA Conference. Le marché était encombré par une multitude d’acteurs misant tantôt sur l’analyse des journaux d’activité, sur celle des points de terminaison de l’infrastructure à partir d’agents résidents, ou encore sur le trafic réseau (NTA, Network Trafic Analytics). Mais ce temps semble désormais bien loin, et Gartner anticipe la disparition de l’analyse comportementale comme marché isolé à l’horizon 2021. De fait, elle est de plus en plus présente dans les systèmes de gestion des informations et événements de sécurité (SIEM), les passerelles d’accès cloud sécurisé (CASB), les systèmes de prévention des fuites de données (DLP), ceux de gestion des accès et des identités (IAM) ou encore des comptes à privilèges (PAM). A travers une série d’articles, nous vous proposons de découvrir le regard que portent plusieurs experts sur cette évolution.
Vincent Dely, Digital Guardian : L'UEBA est effectivement à la ‘mode’ pour ces différents outils. Au-delà de l’aspect marketing, cette technologie tente aussi de répondre à une demande des clients. Ils sont tous submergés d’informations à traiter pour délivrer un niveau suffisant de protection de leurs infrastructures et de leurs données sensibles. En parallèle, ils manquent de ressources aussi bien en nombre de personnes en charge d’analyser ces données, qu’en compétences pour en tirer une analyse efficace et approfondie.
Donc, la technologie d’UEBA tente d’aider à prioriser les opérations d’analyse en attirant l’attention sur les comportements ou les événements qui paraissent les plus suspects. Il s’agit davantage d’un point d’entrée dans le processus d’analyse cyber ou DLP que d’une finalité. De plus, cette technologie, en tentant d’identifier les modifications de comportements – pas uniquement des utilisateurs mais aussi des applications, etc. – au plus tôt, peut permettre de réagir plus en amont sur l’apparition d’une situation à risque. Plutôt que de réagir une fois l’incident terminé, on peut envisager d’agir dès les premières étapes et ainsi réduire la gravité de l’incident.
J’en conviens, la technologie d’UEBA n’est pas nécessairement adaptée à toutes les technologies que vous citez. Néanmoins, dans le cas de Digital Guardian, qui se trouve au plus près de la donnée, de l’utilisateur et des actions qu’il entreprend sur ces données, la notion d’observation du comportement et de ses variations prend un sens naturel dans l’évolution de notre outil.
Cela pourrait être comparable à une salle de contrôle vidéo pour une commune. Un petit groupe d’agents ne pouvant suivre toutes les caméras en même temps, il est nécessaire que des systèmes automatiques attirent leur attention sur les événements importants. Mais cela n’enlève en rien la nécessité d’une interprétation humaine de la situation et de sa gravité.
Il est encore un peu tôt pour tirer des conclusions sur l’avenir de ce type d’approche, mais il est clair que les attaques sont de plus en plus difficiles à détecter depuis le réseau et, si l’on exclut les attaques en déni de service, toutes les autres attaques s’appuient sur des postes de travail ou des serveurs pour se réaliser. C’est donc à cet endroit qu’il faut se trouver pour les identifier et les contrer au mieux. C’est dans ce contexte que Digital Guardian se positionne et développe son offre. Notre récent classement comme leader dans le monde de l’EDR par Forrester confirme cette tendance.
L’équipe dirigeante de Digital Guardian ayant également créé Nitro Security, elle affiche la volonté de faire converger les capacités historiques de l’agent Digital Guardian à voir les activités et identifier les données sur les postes avec les technologies avancées d’analyse et de reporting dans le but de délivrer une solution unique pour la protection des postes de travail.
Il y a donc pour moi une complémentarité avec les approches basées sur le réseau comme le SIEM et les systèmes de protection des infrastructures comme les firewall NG. Digital Guardian se charge d’analyser et de comprendre ce qui se passe en détail au niveau de chaque poste de travail et peut remonter vers un composant central de pilotage du SOC, comme le SIEM, les alertes les plus pertinentes. Il est alors possible pour les opérateurs d’approfondir l’analyse en s’appuyant sur le Analytics and Reporting Cloud (ARC) de Digital Guardian pour collecter les éléments de contexte détaillés.
Nous en sommes à la version 2.0 de notre moteur UEBA et nous prévoyons de faire évoluer la plateforme pour permettre aux clients d’intégrer les définitions des comportements qu’ils souhaitent voir analysées dans le modèle pour rendre le système plus pertinent aux particularités de leur environnement. Il est également prévu d’intégrer un organigramme de l’entreprise pour estimer l’impact d’un incident isolé à l’échelle de la hiérarchie. Un utilisateur isolé pouvant mettre à risque la direction générale de l’entreprise.