Accueil🇫🇷Chercher

Analyse du comportement des utilisateurs et des entités

L'analyse du comportement des utilisateurs et des entités utilisateurs (ou UEBA en anglais)[1] est l'analyse du comportement des utilisateurs, des sujets, des visiteurs, etc. dans un but spécifique[2]. Il permet aux outils de cybersécurité de construire un profil de l'activité normale de chaque individu, en examinant les modèles de comportement humain, puis en identifiant les écarts (ou anomalies) par rapport à ce profil, qui indiquent potentiellement la compromission d'un système[3] - [4] - [5].

Histoire

Invention de l'UBA

Selon Johna Till Johnson de Nemertes Research, les systèmes de sécurité fournissent tellement d'informations qu'il est difficile de découvrir des informations indiquant réellement une potentielle veritable attaque. Les outils d'analyse aident à donner un sens à la grande quantité de données recueillies par SIEM, IDS/IPS, les journaux système et d'autres outils. Les outils UBA utilisent un type spécialisé d'analyse de la sécurité qui se concentre sur le comportement des systèmes et des personnes qui les utilisent. La technologie UBA a d'abord évolué dans le domaine du marketing, pour aider les entreprises à comprendre et à prévoir les habitudes d'achat des consommateurs . Mais il s'avère que l'UBA peut également être extrêmement utile dans le contexte de la sécurité[6].

Evolution vers l'UEBA

Le E dans UEBA étend l'analyse pour inclure les activités de l'entité qui ont lieu mais qui ne sont pas nécessairement directement liées aux actions spécifiques d'un utilisateur, mais qui peuvent toujours être corrélées à une vulnérabilité, une reconnaissance, une intrusion ou un exploit[2].

Le terme UEBA est inventé par Gartner en 2015. L'UEBA suit l'activité des appareils, des applications, des serveurs et des données. Les systèmes UEBA produisent plus de données et produisent des rapports plus poussés que les systèmes UBA[1].

Différence avec un EDR

Les outils UEBA diffèrent des capacités des outils EDR en ce sens que l'UEBA se concentre analytiquement sur l'utilisateur, tandis que l'EDR se concentre analytiquement sur l'« endpoint »[3].

Limites

Les utilisateurs n'ont pas toujours de comportement moyen, et ce, spécialement les commerciaux se connectant depuis de nombreux lieux différents. Les implementations d'UEBA sans liens crées avec la Gestion des identités et des accès retireraient la composante « utilisateur » de l'UEBA et donneraient souvent lieux à des échecs[7].

Voir aussi

Références

  1. (en) « What is User (and Entity) Behavior Analytics (UBA or UEBA)? », Security (consulté le )
  2. (en) Mike Chapple, James Michael Stewart, Darril Gibson, (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, 9th, , 49 p. (ISBN 978-1-119-78623-8)
  3. (en) Mike Chapple, James Michael Stewart, Darril Gibson, (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, 9th, , 1009 p. (ISBN 978-1-119-78623-8)
  4. (en) « Market Guide for User Behavior Analytics », sur Gartner (consulté le )
  5. (en) « What is SIEM? | A Definition from TechTarget.com », sur Security (consulté le )
  6. User behavioral analytics tools can thwart security attacks
  7. (en) Nathan EddyContributing Writer et Dark ReadingDecember 27, « How to Get the Most Out of UEBA », sur Dark Reading, (consulté le )
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.