siem
Les cyberattaquants sont aujourd’hui passés maîtres dans l’art du camouflage : ils travaillent fort pour faire passer leurs activités malveillantes pour des processus normaux. Ils utilisent des outils légitimes, communiquent avec des serveurs de commande et de contrôle à travers des services publics, et font passer l’exécution de code malveillant pour des actions normales de l’utilisateur. Ce type d’activité est presque invisible pour les solutions de sécurité traditionnelles. Cependant, il est possible de déceler certaines anomalies en analysant le comportement d’utilisateurs spécifiques, de comptes de service ou d’autres entités. Il s’agit du concept de base d’une méthode de détection des menaces appelée UEBA, abréviation d’ « analyse du comportement des utilisateurs et des entités ». C’est exactement ce que nous avons mis en œuvre dans la dernière version de notre système SIEM – Kaspersky Unified Monitoring and Analysis Platform.
Fonctionnement de l’UEBA dans un système SIEM
Par définition, l’UEBA est une technologie de cybersécurité qui détecte les menaces en analysant le comportement des utilisateurs, des appareils, des applications et d’autres objets dans un système d’information. Bien qu’en principe cette technologie puisse être utilisée avec n’importe quelle solution de sécurité, nous pensons qu’elle est plus efficace lorsqu’elle est intégrée à une plateforme SIEM. En utilisant le machine learning pour établir une référence normale pour le comportement d’un utilisateur ou d’un objet (qu’il s’agisse d’un ordinateur, d’un service ou d’une autre entité), un système SIEM équipé de règles de détection de l’UEBA peut analyser les écarts par rapport à un comportement typique. Il est ainsi possible de détecter rapidement les APT, les attaques ciblées et les menaces internes.
C’est pourquoi nous avons équipé notre système SIEM d’un ensemble de règles UEBA, conçues tout particulièrement pour détecter les anomalies dans les processus d’authentification, l’activité du réseau et l’exécution des processus sur les postes de travail et les serveurs basés sur Windows. Notre système est ainsi plus apte à détecter de nouvelles attaques difficiles à repérer à l’aide de règles de corrélation, de signatures ou d’indicateurs de compromission classiques. Chaque règle du paquet UEBA est basée sur le profilage du comportement des utilisateurs et des objets. Les règles se répartissent en deux catégories principales :
- Les règles statistiques, qui utilisent l’intervalle interquartile pour détecter les anomalies en fonction des données de comportement actuelles.
- Règles qui détectent les écarts par rapport à un comportement normal, déterminé par l’analyse de l’activité antérieure d’un compte ou d’un objet.
Lorsqu’un écart par rapport à une norme historique ou à une attente statistique est constaté, le système génère une alerte et augmente le score de risque de l’objet concerné (utilisateur ou hôte). (Lisez cet article pour en savoir plus sur la façon dont notre solution SIEM utilise l’IA pour la notation des risques.)
Structure de l’ensemble de règles de l’UEBA
Pour ce paquet de règles, nous nous sommes concentrés sur les domaines où la technologie UEBA fonctionne le mieux, comme la protection des comptes, la surveillance de l’activité du réseau et l’authentification sécurisée. L’ensemble de règles de l’UEBA comprend actuellement les fonctionnalités suivantes :
Contrôle d’authentification et d’autorisation
Ces règles détectent les méthodes de connexion inhabituelles, les pics soudains d’erreurs d’authentification, l’ajout de comptes à des groupes locaux sur différents ordinateurs ainsi que les tentatives d’authentification en dehors des heures de bureau. Chacun de ces écarts est signalé et augmente le score de risque de l’utilisateur.
Profilage DNS
Dédié à l’analyse des requêtes DNS effectuées par les ordinateurs du réseau de l’entreprise. Les règles de cette section permettent de collecter des données historiques afin de détecter des anomalies, comme des requêtes portant sur des types d’enregistrement inconnus, des noms de domaine excessivement longs, des zones inhabituelles ou des fréquences de requêtes atypiques. Il surveille également le volume de données renvoyées par DNS. Tout écart dans ce sens est considéré comme une menace et augmente donc le score de risque de l’hôte.
Profilage de l’activité réseau
Suivi des connexions entre les ordinateurs, à la fois au sein du réseau et vers des ressources externes. Ces règles signalent les premières connexions à de nouveaux ports, les contacts avec des hôtes inconnus jusqu’alors, les volumes inhabituels de trafic sortant et l’accès aux services de gestion. Toute action qui s’écarte du comportement normal génère des alertes et augmente le score de risque.
Profilage des processus
Cette section surveille les programmes lancés à partir des dossiers système Windows. Si un nouveau fichier exécutable est lancé pour la première fois à partir des répertoires System32 ou SysWOW64 sur un ordinateur donné, il est signalé comme anomalie. Cette action augmente le score de risque de l’utilisateur qui a lancé le processus.
Profilage PowerShell
Cette section permet de suivre la source des exécutions de scripts PowerShell. Si un script s’exécute pour la première fois à partir d’un répertoire non standard (autre que Program Files, Windows ou un autre emplacement courant), l’action est marquée comme suspecte et entraîne une augmentation du score de risque de l’utilisateur.
Surveillance VPN
Cette fonctionnalité signalera comme risqués divers événements, notamment les identifiants provenant de pays non associés au profil de l’utilisateur, les déplacements géographiquement impossibles, les volumes de trafic inhabituels sur un VPN, les changements de client VPN et les multiples tentatives de connexion infructueuses. Chacun de ces événements entraîne une augmentation du score de risque associé au compte de l’utilisateur.
L’utilisation de ces règles UEBA nous aide à détecter les attaques sophistiquées et à réduire les faux positifs en analysant le contexte comportemental. Il en résulte une amélioration significative de la précision de nos analyses et une réduction de la charge de travail des analystes en sécurité. L’utilisation de l’UEBA et de l’IA pour attribuer une note de risque à un objet accélère et améliore le temps de réponse de chaque analyste en lui permettant de hiérarchiser les incidents avec plus de précision. Combiné à la création automatique de références comportementales types, ce système améliore considérablement l’efficacité globale des équipes de sécurité. Il les libère des tâches routinières et fournit un contexte comportemental plus riche et plus précis pour la détection et la réponse aux menaces.
Nous ne cessons d’optimiser l’ergonomie de notre système SIEM. Restez à l’affût des dernières actualités concernant Kaspersky Unified Monitoring and Analysis Platform sur la page officielle du produit.
Conseils