ProHoster > Blog > actualités internet > Le marché de l’UEBA est mort – vive l’UEBA

Le marché de l’UEBA est mort – vive l’UEBA

Le marché de l’UEBA est mort – vive l’UEBA

Aujourd’hui, nous fournirons un bref aperçu du marché de l’analyse comportementale des utilisateurs et des entités (UEBA) sur la base des dernières Recherche Gartner. Le marché de l’UEBA est au bas de la « phase de désillusion » selon Gartner Hype Cycle for Threat-Facing Technologies, ce qui indique la maturité de la technologie. Mais le paradoxe de la situation réside dans la croissance générale simultanée des investissements dans les technologies UEBA et la disparition du marché des solutions UEBA indépendantes. Gartner prédit que l'UEBA fera partie des fonctionnalités des solutions de sécurité de l'information associées. Le terme « UEBA » deviendra probablement obsolète et sera remplacé par un autre acronyme axé sur un domaine d'application plus restreint (par exemple, « analyse du comportement des utilisateurs »), un domaine d'application similaire (par exemple, « analyse de données »), ou deviendra simplement une sorte d'acronyme. nouveau mot à la mode (par exemple, le terme « intelligence artificielle » [IA] semble intéressant, même s'il n'a aucun sens pour les fabricants modernes de l'UEBA).

Les principales conclusions de l’étude Gartner peuvent être résumées comme suit :

  • La maturité du marché de l'analyse comportementale des utilisateurs et des entités est confirmée par le fait que ces technologies sont utilisées par le segment des moyennes et grandes entreprises pour résoudre un certain nombre de problèmes commerciaux ;
  • Les capacités d'analyse de l'UEBA sont intégrées à un large éventail de technologies liées à la sécurité de l'information, telles que les courtiers en sécurité d'accès au cloud (CASB), les systèmes SIEM de gouvernance et d'administration des identités (IGA) ;
  • Le battage médiatique autour des fournisseurs de l’UEBA et l’utilisation incorrecte du terme « intelligence artificielle » font qu’il est difficile pour les clients de comprendre la réelle différence entre les technologies des fabricants et la fonctionnalité des solutions sans mener un projet pilote ;
  • Les clients notent que le temps de mise en œuvre et l'utilisation quotidienne des solutions UEBA peuvent être plus laborieux et plus longs que ce que promet le fabricant, même en ne considérant que les modèles de base de détection des menaces. L'ajout de cas d'utilisation personnalisés ou périphériques peut être extrêmement difficile et nécessiter une expertise en science des données et en analyse.

Prévisions de développement stratégique du marché :

  • D'ici 2021, le marché des systèmes d'analyse comportementale des utilisateurs et des entités (UEBA) cessera d'exister en tant que domaine distinct et s'orientera vers d'autres solutions dotées des fonctionnalités UEBA ;
  • D’ici 2020, 95 % de tous les déploiements UEBA feront partie d’une plateforme de sécurité plus large.

Définition des solutions UEBA

Les solutions UEBA utilisent des analyses intégrées pour évaluer l'activité des utilisateurs et d'autres entités (telles que les hôtes, les applications, le trafic réseau et les magasins de données).
Ils détectent les menaces et les incidents potentiels, représentant généralement une activité anormale par rapport au profil et au comportement standard des utilisateurs et des entités de groupes similaires sur une période donnée.

Les cas d'utilisation les plus courants dans le segment des entreprises sont la détection et la réponse aux menaces, ainsi que la détection et la réponse aux menaces internes (principalement des internes compromis ; parfois des attaquants internes).

L'UEBA c'est comme par décisionEt функцией, intégré à un outil spécifique :

  • La solution provient des fabricants de plates-formes UEBA « pures », y compris des fournisseurs qui vendent également des solutions SIEM séparément. Centré sur un large éventail de problèmes commerciaux liés à l'analyse comportementale des utilisateurs et des entités.
  • Intégré – Fabricants/divisions qui intègrent les fonctions et technologies UEBA dans leurs solutions. Généralement axé sur un ensemble plus spécifique de problèmes commerciaux. Dans ce cas, l'UEBA est utilisé pour analyser le comportement des utilisateurs et/ou des entités.

Gartner considère l'UEBA selon trois axes : la résolution de problèmes, l'analyse et les sources de données (voir figure).

Le marché de l’UEBA est mort – vive l’UEBA

Plateformes UEBA « pures » versus UEBA intégré

Gartner considère qu'une plateforme UEBA « pure » est constituée de solutions qui :

  • résoudre plusieurs problèmes spécifiques, tels que la surveillance des utilisateurs privilégiés ou la sortie de données en dehors de l'organisation, et pas seulement la « surveillance abstraite de l'activité anormale des utilisateurs » ;
  • impliquent l’utilisation d’analyses complexes, nécessairement basées sur des approches analytiques de base ;
  • fournir plusieurs options de collecte de données, y compris à la fois des mécanismes de source de données intégrés et des outils de gestion des journaux, des lacs de données et/ou des systèmes SIEM, sans qu'il soit obligatoire de déployer des agents distincts dans l'infrastructure ;
  • peuvent être achetés et déployés en tant que solutions autonomes plutôt que inclus dans
    composition d'autres produits.

Le tableau ci-dessous compare les deux approches.

Tableau 1. Solutions UEBA « pures » par rapport aux solutions intégrées

catégorie Plateformes UEBA « pures » Autres solutions avec UEBA intégré
Problème à résoudre Analyse du comportement des utilisateurs et des entités. Le manque de données peut limiter l'UEBA à analyser le comportement des utilisateurs ou des entités uniquement.
Problème à résoudre Sert à résoudre un large éventail de problèmes Spécialisé dans un ensemble limité de tâches
Analytique Détection des anomalies à l'aide de diverses méthodes analytiques - principalement via des modèles statistiques et l'apprentissage automatique, ainsi que des règles et des signatures. Livré avec des analyses intégrées pour créer et comparer l'activité des utilisateurs et des entités à leurs profils et à ceux de leurs collègues. Similaire à l'UEBA pur, mais l'analyse peut être limitée aux utilisateurs et/ou entités uniquement.
Analytique Des capacités analytiques avancées, non limitées uniquement par des règles. Par exemple, un algorithme de clustering avec regroupement dynamique d'entités. Semblable à l’UEBA « pur », mais le regroupement d’entités dans certains modèles de menaces intégrés ne peut être modifié que manuellement.
Analytique Corrélation de l'activité et du comportement des utilisateurs et d'autres entités (par exemple, à l'aide de réseaux bayésiens) et agrégation des comportements individuels à risque afin d'identifier les activités anormales. Similaire à l'UEBA pur, mais l'analyse peut être limitée aux utilisateurs et/ou entités uniquement.
Source d'information Réception d'événements sur les utilisateurs et les entités à partir de sources de données directement via des mécanismes intégrés ou des magasins de données existants, tels que SIEM ou Data Lake. Les mécanismes d'obtention de données sont généralement uniquement directs et n'affectent que les utilisateurs et/ou d'autres entités. N'utilisez pas d'outils de gestion de logs / SIEM / Data Lake.
Source d'information La solution ne doit pas s’appuyer uniquement sur le trafic réseau comme principale source de données, ni uniquement sur ses propres agents pour collecter la télémétrie. La solution peut se concentrer uniquement sur le trafic réseau (par exemple, NTA - analyse du trafic réseau) et/ou utiliser ses agents sur les appareils finaux (par exemple, utilitaires de surveillance des employés).
Source d'information Saturer les données utilisateur/entité avec du contexte. Prend en charge la collecte d'événements structurés en temps réel, ainsi que des données cohérentes structurées/non structurées à partir d'annuaires informatiques - par exemple, Active Directory (AD) ou d'autres ressources d'informations lisibles par machine (par exemple, bases de données RH). Similaire à l’UEBA pur, mais la portée des données contextuelles peut différer d’un cas à l’autre. AD et LDAP sont les magasins de données contextuelles les plus couramment utilisés par les solutions UEBA intégrées.
Disponibilité Fournit les fonctionnalités répertoriées en tant que produit autonome. Il est impossible d'acheter la fonctionnalité UEBA intégrée sans acheter une solution externe dans laquelle elle est intégrée.
Source : Gartner (mai 2019)

Ainsi, pour résoudre certains problèmes, l'UEBA intégré peut utiliser des analyses UEBA de base (par exemple, un simple apprentissage automatique non supervisé), mais en même temps, en raison de l'accès aux données exactement nécessaires, il peut être globalement plus efficace qu'un « pur » Solution UEBA. Dans le même temps, les plates-formes UEBA « pures » offrent, comme prévu, des analyses plus complexes comme savoir-faire principal par rapport à l'outil UEBA intégré. Ces résultats sont résumés dans le tableau 2.

Tableau 2. Le résultat des différences entre l'UEBA « pur » et intégré

catégorie Plateformes UEBA « pures » Autres solutions avec UEBA intégré
Analytique L'applicabilité à la résolution d'une variété de problèmes commerciaux implique un ensemble plus universel de fonctions UEBA en mettant l'accent sur des modèles d'analyse et d'apprentissage automatique plus complexes. Se concentrer sur un ensemble plus restreint de problèmes métier signifie des fonctionnalités hautement spécialisées qui se concentrent sur des modèles spécifiques à des applications avec une logique plus simple.
Analytique La personnalisation du modèle analytique est nécessaire pour chaque scénario d'application. Les modèles analytiques sont préconfigurés pour l’outil dans lequel UEBA est intégré. Un outil avec UEBA intégré permet généralement d'obtenir des résultats plus rapides dans la résolution de certains problèmes commerciaux.
Source d'information Accès aux sources de données depuis tous les coins de l’infrastructure de l’entreprise. Moins de sources de données, généralement limitées par la disponibilité des agents pour celles-ci ou par l'outil lui-même avec les fonctions UEBA.
Source d'information Les informations contenues dans chaque journal peuvent être limitées par la source de données et peuvent ne pas contenir toutes les données nécessaires à l'outil centralisé UEBA. La quantité et le détail des données brutes collectées par l'agent et transmises à l'UEBA peuvent être spécifiquement configurées.
Architecture Il s'agit d'un produit UEBA complet pour une organisation. L'intégration est plus facile grâce aux capacités d'un système SIEM ou d'un Data Lake. Nécessite un ensemble distinct de fonctionnalités UEBA pour chacune des solutions intégrant UEBA. Les solutions UEBA intégrées nécessitent souvent l'installation d'agents et la gestion des données.
intégration Intégration manuelle de la solution UEBA avec d'autres outils dans chaque cas. Permet à une organisation de construire sa pile technologique sur la base de l’approche « le meilleur parmi les analogues ». Les principaux ensembles de fonctions UEBA sont déjà inclus dans l'outil lui-même par le fabricant. Le module UEBA est intégré et ne peut pas être supprimé, les clients ne peuvent donc pas le remplacer par quelque chose qui leur est propre.
Source : Gartner (mai 2019)

UEBA en fonction

L'UEBA devient une fonctionnalité des solutions de cybersécurité de bout en bout qui peuvent bénéficier d'analyses supplémentaires. L'UEBA est à la base de ces solutions, fournissant une couche puissante d'analyses avancées basées sur les modèles de comportement des utilisateurs et/ou des entités.

Actuellement sur le marché, la fonctionnalité UEBA intégrée est implémentée dans les solutions suivantes, regroupées par périmètre technologique :

  • Audit et protection axés sur les données, sont des fournisseurs qui se concentrent sur l'amélioration de la sécurité du stockage de données structurées et non structurées (alias DCAP).

    Dans cette catégorie de fournisseurs, Gartner note, entre autres, Plateforme de cybersécurité Varonis, qui propose des analyses du comportement des utilisateurs pour surveiller les changements dans les autorisations, l'accès et l'utilisation des données non structurées dans différentes banques d'informations.

  • Systèmes CASB, offrant une protection contre diverses menaces dans les applications SaaS basées sur le cloud en bloquant l'accès aux services cloud pour les appareils, utilisateurs et versions d'application indésirables à l'aide d'un système de contrôle d'accès adaptatif.

    Toutes les solutions CASB leaders du marché incluent des fonctionnalités UEBA.

  • Solutions DLP – axé sur la détection du transfert de données critiques en dehors de l’organisation ou de leur abus.

    Les avancées DLP reposent en grande partie sur la compréhension du contenu, et moins sur la compréhension du contexte tel que l'utilisateur, l'application, l'emplacement, l'heure, la vitesse des événements et d'autres facteurs externes. Pour être efficaces, les produits DLP doivent reconnaître à la fois le contenu et le contexte. C'est pourquoi de nombreux fabricants commencent à intégrer la fonctionnalité UEBA dans leurs solutions.

  • Surveillance des employés est la possibilité d'enregistrer et de rejouer les actions des employés, généralement dans un format de données adapté aux procédures judiciaires (si nécessaire).

    La surveillance constante des utilisateurs génère souvent une quantité écrasante de données qui nécessitent un filtrage manuel et une analyse humaine. Par conséquent, UEBA est utilisé dans les systèmes de surveillance pour améliorer les performances de ces solutions et détecter uniquement les incidents à haut risque.

  • Sécurité des points finaux – Les solutions de détection et de réponse des points finaux (EDR) et les plates-formes de protection des points finaux (EPP) fournissent une puissante télémétrie d'instrumentation et de système d'exploitation pour
    appareils finaux.

    Une telle télémétrie liée à l'utilisateur peut être analysée pour fournir une fonctionnalité UEBA intégrée.

  • Fraude en ligne – Les solutions de détection de fraude en ligne détectent les activités déviantes qui indiquent une compromission du compte d’un client via une usurpation d’identité, un logiciel malveillant ou l’exploitation de connexions non sécurisées/interception du trafic de navigateur.

    La plupart des solutions anti-fraude utilisent l'essence de l'UEBA, de l'analyse des transactions et de la mesure des appareils, avec des systèmes plus avancés les complétant en faisant correspondre les relations dans la base de données d'identité.

  • IAM et contrôle d'accès – Gartner note une tendance évolutive parmi les fournisseurs de systèmes de contrôle d'accès à s'intégrer aux fournisseurs purs et à intégrer certaines fonctionnalités UEBA dans leurs produits.
  • Systèmes IAM et de gouvernance et d'administration des identités (IGA) utilisez UEBA pour couvrir des scénarios d'analyse comportementale et d'identité tels que la détection d'anomalies, l'analyse de regroupement dynamique d'entités similaires, l'analyse de connexion et l'analyse de politique d'accès.
  • IAM et gestion des accès privilégiés (PAM) – En raison de leur rôle de surveillance de l’utilisation des comptes administratifs, les solutions PAM disposent d’une télémétrie pour montrer comment, pourquoi, quand et où les comptes administratifs ont été utilisés. Ces données peuvent être analysées à l'aide de la fonctionnalité intégrée de l'UEBA pour détecter la présence d'un comportement anormal des administrateurs ou d'une intention malveillante.
  • Fabricants NTA (analyse du trafic réseau) – utilisez une combinaison d’apprentissage automatique, d’analyses avancées et de détection basée sur des règles pour identifier les activités suspectes sur les réseaux d’entreprise.

    Les outils NTA analysent en permanence le trafic source et/ou les enregistrements de flux (par exemple NetFlow) pour créer des modèles qui reflètent le comportement normal du réseau, en se concentrant principalement sur l'analyse du comportement des entités.

  • SIEM – de nombreux fournisseurs SIEM disposent désormais de fonctionnalités avancées d’analyse de données intégrées au SIEM ou en tant que module UEBA distinct. Tout au long de l’année 2018 et jusqu’à présent en 2019, les frontières entre les fonctionnalités SIEM et UEBA se sont progressivement estompées, comme indiqué dans l’article. "Aperçu technologique pour le SIEM moderne". Les systèmes SIEM sont devenus meilleurs pour fonctionner avec l'analyse et offrir des scénarios d'application plus complexes.

Scénarios d'application UEBA

Les solutions UEBA peuvent résoudre un large éventail de problèmes. Cependant, les clients de Gartner conviennent que le principal cas d'utilisation implique la détection de diverses catégories de menaces, obtenues en affichant et en analysant les corrélations fréquentes entre le comportement des utilisateurs et d'autres entités :

  • accès et déplacement non autorisés de données ;
  • comportement suspect d'utilisateurs privilégiés, activité malveillante ou non autorisée des employés ;
  • accès et utilisation non standard des ressources cloud ;
  • etc

Il existe également un certain nombre de cas d’usage atypiques non liés à la cybersécurité, tels que la fraude ou la surveillance des salariés, pour lesquels l’UEBA peut se justifier. Cependant, ils nécessitent souvent des sources de données extérieures à l’informatique et à la sécurité de l’information, ou des modèles analytiques spécifiques ayant une compréhension approfondie de ce domaine. Les cinq principaux scénarios et applications sur lesquels les fabricants d'UEBA et leurs clients s'accordent sont décrits ci-dessous.

"Initié malveillant"

Les fournisseurs de solutions UEBA qui couvrent ce scénario surveillent uniquement les employés et les sous-traitants de confiance pour détecter tout comportement inhabituel, « mauvais » ou malveillant. Les fournisseurs dans ce domaine d'expertise ne surveillent ni n'analysent le comportement des comptes de service ou d'autres entités non humaines. C’est en grande partie pour cette raison qu’ils ne se concentrent pas sur la détection des menaces avancées dans lesquelles les pirates informatiques s’emparent des comptes existants. Ils visent plutôt à identifier les employés impliqués dans des activités nuisibles.

Essentiellement, le concept d’« initié malveillant » provient d’utilisateurs de confiance dotés d’intentions malveillantes qui cherchent des moyens de causer des dommages à leur employeur. Les intentions malveillantes étant difficiles à mesurer, les meilleurs fournisseurs de cette catégorie analysent les données de comportement contextuelles qui ne sont pas facilement disponibles dans les journaux d'audit.

Les fournisseurs de solutions dans cet espace ajoutent et analysent également de manière optimale des données non structurées, telles que le contenu des e-mails, les rapports de productivité ou les informations sur les réseaux sociaux, pour fournir un contexte au comportement.

Menaces internes compromises et intrusives

Le défi consiste à détecter et analyser rapidement les « mauvais » comportements une fois que l’attaquant a accédé à l’organisation et commencé à se déplacer au sein de l’infrastructure informatique.
Les menaces assertives (APT), comme les menaces inconnues ou pas encore entièrement comprises, sont extrêmement difficiles à détecter et se cachent souvent derrière l'activité légitime des utilisateurs ou des comptes de service. De telles menaces ont généralement un modèle opérationnel complexe (voir par exemple l'article « Aborder la Cyber ​​​​Kill Chain") ou leur comportement n'a pas encore été évalué comme nuisible. Cela les rend difficiles à détecter à l’aide d’analyses simples (telles que la correspondance par modèles, seuils ou règles de corrélation).

Cependant, bon nombre de ces menaces intrusives entraînent un comportement non standard, impliquant souvent des utilisateurs ou des entités peu méfiants (c'est-à-dire des initiés compromis). Les techniques UEBA offrent plusieurs opportunités intéressantes pour détecter de telles menaces, améliorer le rapport signal/bruit, consolider et réduire le volume de notifications, hiérarchiser les alertes restantes et faciliter une réponse et une enquête efficaces sur les incidents.

Les fournisseurs UEBA ciblant ce domaine problématique ont souvent une intégration bidirectionnelle avec les systèmes SIEM de l'organisation.

Exfiltration de données

La tâche dans ce cas est de détecter le fait que les données sont transférées en dehors de l'organisation.
Les fournisseurs qui se concentrent sur ce défi exploitent généralement les capacités DLP ou DAG avec détection des anomalies et analyses avancées, améliorant ainsi le rapport signal/bruit, consolidant le volume de notifications et donnant la priorité aux déclencheurs restants. Pour plus de contexte, les fournisseurs s'appuient généralement davantage sur le trafic réseau (tel que les proxys Web) et les données des points finaux, car l'analyse de ces sources de données peut faciliter les enquêtes sur l'exfiltration de données.

La détection de l’exfiltration de données est utilisée pour détecter les pirates internes et externes qui menacent l’organisation.

Identification et gestion des accès privilégiés

Les fabricants de solutions UEBA indépendantes dans ce domaine d'expertise observent et analysent le comportement des utilisateurs dans le contexte d'un système de droits déjà constitué afin d'identifier des privilèges excessifs ou des accès anormaux. Cela s'applique à tous les types d'utilisateurs et de comptes, y compris les comptes privilégiés et de service. Les organisations utilisent également UEBA pour se débarrasser des comptes dormants et des privilèges utilisateur plus élevés que requis.

Hiérarchisation des incidents

L'objectif de cette tâche est de hiérarchiser les notifications générées par les solutions dans leur pile technologique afin de comprendre quels incidents ou incidents potentiels doivent être traités en premier. Les méthodologies et outils UEBA sont utiles pour identifier les incidents particulièrement anormaux ou particulièrement dangereux pour une organisation donnée. Dans ce cas, le mécanisme UEBA utilise non seulement le niveau de base des modèles d'activité et de menace, mais sature également les données avec des informations sur la structure organisationnelle de l'entreprise (par exemple, les ressources ou rôles critiques et les niveaux d'accès des employés).

Problèmes de mise en œuvre des solutions UEBA

Le problème du marché des solutions UEBA réside dans leur prix élevé, leur mise en œuvre, leur maintenance et leur utilisation complexes. Alors que les entreprises sont aux prises avec le nombre de portails internes différents, elles se dotent d’une autre console. L'ampleur de l'investissement en temps et en ressources dans un nouvel outil dépend des tâches à accomplir et des types d'analyses nécessaires pour les résoudre, et nécessite le plus souvent des investissements importants.

Contrairement à ce que prétendent de nombreux fabricants, UEBA n’est pas un outil « configurez-le et oubliez-le » qui peut ensuite fonctionner en continu pendant des jours.
Les clients de Gartner notent par exemple qu'il faut de 3 à 6 mois pour lancer une initiative UEBA à partir de zéro afin d'obtenir les premiers résultats de résolution des problèmes pour lesquels cette solution a été mise en œuvre. Pour les tâches plus complexes, comme l’identification des menaces internes dans une organisation, le délai passe à 18 mois.

Facteurs influençant la difficulté de mise en œuvre de l’UEBA et l’efficacité future de l’outil :

  • Complexité de l'architecture organisationnelle, de la topologie du réseau et des politiques de gestion des données
  • Disponibilité des bonnes données au bon niveau de détail
  • La complexité des algorithmes d'analyse du fournisseur : par exemple, l'utilisation de modèles statistiques et d'apprentissage automatique par rapport à des modèles et des règles simples.
  • La quantité d'analyses préconfigurées incluses, c'est-à-dire la compréhension du fabricant des données à collecter pour chaque tâche et des variables et attributs les plus importants pour effectuer l'analyse.
  • Comme il est facile pour le fabricant d'intégrer automatiquement les données requises.

    Par exemple:

    • Si une solution UEBA utilise un système SIEM comme source principale de ses données, le SIEM collecte-t-il des informations à partir des sources de données requises ?
    • Les journaux d’événements et les données de contexte organisationnel nécessaires peuvent-ils être acheminés vers une solution UEBA ?
    • Si le système SIEM ne collecte et ne contrôle pas encore les sources de données nécessaires à la solution UEBA, comment les transférer là-bas ?

  • Quelle est l’importance du scénario d’application pour l’organisation, combien de sources de données nécessite-t-il et dans quelle mesure cette tâche chevauche-t-elle le domaine d’expertise du fabricant.
  • Quel degré de maturité organisationnelle et d'implication est requis – par exemple, la création, le développement et l'affinement de règles et de modèles ; attribuer des poids aux variables pour l'évaluation ; ou en ajustant le seuil d’évaluation des risques.
  • Dans quelle mesure la solution du fournisseur et son architecture sont-elles évolutives par rapport à la taille actuelle de l'organisation et à ses exigences futures ?
  • Il est temps de créer des modèles de base, des profils et des groupes clés. Les fabricants ont souvent besoin d’au moins 30 jours (et parfois jusqu’à 90 jours) pour effectuer une analyse avant de pouvoir définir des concepts « normaux ». Le chargement unique des données historiques peut accélérer la formation du modèle. Certains des cas intéressants peuvent être identifiés plus rapidement à l’aide de règles qu’en utilisant l’apprentissage automatique avec une quantité incroyablement petite de données initiales.
  • Le niveau d'effort requis pour créer un regroupement dynamique et un profilage de compte (service/personne) peut varier considérablement d'une solution à l'autre.

Source: habr.com

Ajouter un commentaire