Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

L'analyse comportementale détecte la menace informatique

26 Janvier 2017, 18:53pm

Publié par Grégory SANT

Cybersécurité : l’analyse comportementale pour détecter la menace interne

Aujourd’hui, la plupart des outils de sécurité informatique visent à combattre les menaces extérieures. Mais quid de la menace interne, encore plus difficile à détecter ? Une des pistes consiste à utiliser des algorithmes d’apprentissage automatique pour repérer en temps réel des comportements d’utilisateurs anormaux. C’est ce qu’explique dans cette tribune Daniel Bago, de Balabit IT Security.

Les cybercriminels actuels sont mieux armés, mieux financés et font preuve de plus d’intelligence qu’il y a quelques années. Cela se traduit par des attaques bien plus complexes et ciblées. Et le pire, c’est que ces attaquants, qui en veulent aux entreprises, sont déjà à l’intérieur du périmètre de leur réseau.

Dans de nombreux cas d’attaques – citons parmi les plus marquantes, TV5 Monde, ou Ashley Madison – les hackers étaient très bien préparés et/ou informés. Ils ont ainsi réussi à pénétrer les réseaux, puis à rester invisibles des outils de détection pendant longtemps, disposant ainsi d’une liberté de déplacement dans les réseaux ciblés.

Des outils encore davantage tournés vers les menaces externes

Les attaques avancées et persistantes (APT) qui ciblent aujourd’hui les entreprises démontrent que les hackers ont toujours un temps d’avance sur les outils de sécurité. Le problème étant que les outils de sécurité actuels sont encore trop souvent conçus pour protéger contre les menaces externes, et non contre les employés censés être de confiance… Cela offre un avantage considérable aux utilisateurs internes ayant des objectifs malveillants. Alors même que les attaques ciblées mêlent notamment des vulnérabilités identifiées et de l’ingénierie sociale pour forcer les accès non-autorisés.

Parmi les exemples les plus récents, citons l’affaire Kerviel où les actions frauduleuses de l’ancien trader ont coûté près de 5 milliards d’euros à la Société Générale. Autre exemple avec AT&T. L’opérateur télécom américain s’est vu adresser une amende de 25 millions de dollars car l’employé de l’un de ses centres d’appels externalisé a frauduleusement accédé aux données de 280 000 comptes utilisateurs puis les a vendues. Le piratage interne est également l’une des pistes privilégiées de l’affaire des Panama Papers. Pendant plusieurs mois - de juin à décembre 2015 – un ou des individus aurai(en)t exfiltré peu à peu 2,6 térabits de données, soit 11,5 millions de fichiers.

Veiller aux utilisateurs privilégiés

L’utilisateur est donc le nouveau périmètre sur lequel l’entreprise et la sécurité doivent se concentrer. L’analyse comportementale incarne cette approche de la sécurité IT centrée sur les utilisateurs et plus particulièrement les utilisateurs privilégiés. Reposant sur des solutions qui observent ce que les utilisateurs internes et externes font sur le système, l’analyse comportementale des utilisateurs (UBA - User Behavior Analytics) permet de détecter les comportements inhabituels. Elle offre ainsi aux entreprises la possibilité de concentrer leurs ressources de sécurité sur les événements importants, et leur permettent de remplacer certains contrôles pour une plus grande flexibilité et une meilleure efficacité business.

Les utilisateurs privilégiés peuvent être des utilisateurs nécessitant des accès plus importants sur le système d’information de l’entreprise car cela est requis par leur fonction, des employés ayant accumulé des privilèges au fil du temps, etc. (DG, DAF, administrateurs, prestataires de maintenance informatique, etc.).

Des menaces présentes mais invisibles

Selon un rapport sur les menaces internes de la société Vormetric (groupe Thalès), 87% des entreprises se sentaient vulnérables aux menaces internes. Cela n’a rien de surprenant dans la mesure où 90% des entreprises font face en moyenne à au moins une menace interne chaque mois. Un rapport de la société InfosecBuddy confirme que les utilisateurs privilégiés ayant des accès aux informations les plus sensibles sont ceux qui présentent le plus de risques. Alors que selon les recherches de l’index Cybersecurity Intelligence IBM X-Force, 60% des cyberattaques sont de sources internes. Enfin, encore plus marquant, une étude menée par la société Clearswift, nous apprenait en 2015 que 25% des employés (essentiellement au Royaume-Uni, en Allemagne, en Australie et aux Etats-Unis) étaient prêts à vendre des informations très sensibles de leur entreprise pour 5000 livres et que 59% dérobent des données de leur entreprise lorsqu’ils quittent l’entreprise ou se font licencier...

Les menaces internes sont non seulement plus répandues que les attaques externes, elles sont aussi plus difficiles à détecter. D’après le rapport DBIR 2016 de Verizon, 70% des incidents prennent des mois, voire des années à être découverts. Et le coût d’une faille de données augmente à mesure qu’elle dure dans le temps. Ces incidents peuvent donc causer des dommages financiers considérables pour les entreprises victimes. L’Institut Ponemon plaçait d’ailleurs dans son étude 2015 sur le coût des cybercrimes les attaques internes dans le top 3 des attaques les plus coûteuses, après les attaques web et les attaques DDoS.

L’intelligence artificielle pour une détection en temps réel

Les contrôles préventifs sont généralement difficiles à appliquer contre ce type d’attaques, car les utilisateurs privilégiés ont besoin d’accéder à un large éventail de données pour mener à bien les tâches qui leur sont assignées. A l’inverse, les contrôles de surveillance peuvent être beaucoup plus efficaces.

Les outils d’analyse comportementale des utilisateurs privilégiés (Priviledged UBA) permettent aux entreprises de comprendre les comportements de leurs utilisateurs privilégiés en créant des profils individualisés pour chaque utilisateur, en utilisant des algorithmes de machine learning. Les profils sont réalisés grâce à la récolte des logs générés par les utilisateurs (tous les événements recueillis par l’OS, les applications, etc.), et leur analyse par des outils de surveillance d’activités, sur une période allant de 4 à 12 semaines selon le temps de travail effectif de l’utilisateur sur cette période. Les entreprises peuvent ensuite comparer les bases de profils avec les activités en temps réel et ainsi être alertées instantanément sur les événements inhabituels ou les comportements atypiques. Grâce à la détection de ces anomalies – des connexions à des endroits étranges (une connexion le matin à Paris et au retour du déjeuner à San Francisco est par exemple automatiquement une alerte de sécurité), l’utilisation de terminaux ou de commandes inhabituels, des séquences de frappe sur le clavier à une vitesse inhabituelle, etc. -  les équipes de sécurité augmentent considérablement les chances de détecter et prévenir en temps-réel des menaces venant de l’intérieur.

In fine, cinq bonnes pratiques sont à retenir pour détecter des utilisations abusives : identifier qui sont les utilisateurs privilégiés ; identifier quelles sont les applications et services utilisés quotidiennement par les utilisateurs privilégiés ; surveiller et analyser les activités des utilisateurs privilégiés ; investiguer plus en détails le contenu des logs pour détecter des traces ; analyser en temps-réel pour prévenir des fuites de données très graves.

Le respect de la vie privée des utilisateurs : gagnant ou perdant ?

Les éditeurs de ces nouvelles solutions d’analyse comportementale se défendent de tout risque d’intrusion dans la vie privée des utilisateurs. Ce serait même plutôt le contraire. Les utilisateurs privilégiés, dont les solutions d’analyse comportementale visent à surveiller les activités, en priorité, bénéficient justement d’accès importants aux données personnelles de l’ensemble des employés. Et personne au sein de l’entreprise ne peut les surveiller et les empêcher d’agir à leur guise, notamment lorsqu’ils ont des desseins malveillants. C’est ce vide que l’analyse comportementale entend  combler. Enfin, les éditeurs ont généralement pensé à protéger les profils et les données d’activité générées avec des accès sécurisés et des outils de chiffrement.

Source : industrie-techno.com

Commenter cet article