L’analyse comportementale, clé de la « smart-sécurité »

Publié Par Thierry Berthier, le dans Technologies

Par Thierry Berthier

KamiPhuc-Big_Data_Prob(CC BY 2.0)

KamiPhuc-Big_Data_Prob(CC BY 2.0)

 

L’analyse comportementale des utilisateurs (UBA pour User Behavior Analytics) permet de détecter les comportements à risque et les signaux faibles associés à une compromission dès que celle-ci affecte un système. L’UBA s’appuie sur la puissance des technologies big data et sur un processus d’apprentissage statistique (Machine Learning) pour catégoriser et détecter des séquences comportementales sans passer par une phase de modélisation initiale.

Une solution utilisant l’UBA apprend, sans pré-requis de modèle, à partir de « l’historique de vie » d’un système puis catégorise et sépare les comportements « anormaux » de ceux qui sont conformes aux standards de sécurité. L’UBA est ainsi en mesure de produire des alertes sur des événements susceptibles de créer un contexte de vulnérabilité. Le fonctionnement de l’UBA repose sur l’apprentissage statistique. Celui-ci exploite les données massives qui demeuraient jusqu’à présent sous-employées ou seulement partiellement utilisées comme les bases de logs des systèmes connectés.

Les principes de l’analyse comportementale

Le président de la NSA déclarait dès 2012 :

« L’analyse comportementale est la solution la plus plausible contre les APT (menaces persistantes avancées) ».

Les grands acteurs mondiaux de la cybersécurité s’orientent désormais vers l’UBA qui fournit une image précise, presque en temps réel, du risque associé au comportement de l’utilisateur. Le développement de produits de cybersécurité embarquant des technologies d’UBA se généralise depuis 2012. Les finalistes de l’édition 2015 de la conférence RSA – « Innovation Sandbox » ont présenté des solutions de smart-sécurité UBA particulièrement efficaces. Qu’il s’agisse d’HP, de SentinelOne ou de Fortscale, ces finalistes ont dévoilé en 2015 leurs produits combinant le Machine Learning et les technologies classiques de supervision pour détecter les comportements anormaux.

Ces outils exploitent massivement les rapports d’activité, les fichiers de logs et le SIEM (Security Information Management System) en tant que base d’apprentissage. Ils définissent des motifs typiques correspondant statistiquement à des comportements à risque. Les solutions UBA contiennent souvent plusieurs moteurs de détection d’anomalies, complémentaires, qui collaborent pour couvrir un large spectre de menaces. On y trouve en général un moteur de détection de signal faible, un moteur de corrélation métier issu de l’expertise d’ingénieurs en cybersécurité complétés par une base de connaissance globale régulièrement mise à jour à partir des retours d’expériences-clients.

Ces moteurs travaillent sur une base (big data) souvent externalisée qui contient les données d’entrées utilisées ensuite lors de la phase d’apprentissage. Ces données proviennent de sources diverses : SIEM et logs via les connecteurs SIEM, des messages AMQP (Advanced Message Queuing Protocol) et des requêtes JSON (JavaScript Object Notation). Après analyse, le système UBA renvoie les alertes, les seuils et les sources d’anomalies par logs, Syslogs, AMQP et XML/JSON. Les règles métiers peuvent être implémentées et suivies dans le corrélateur métier (cf; Technologie Reveelium développée par ITrust).

Ce que détecte l’UBA

L’IHM des moteurs UBA permet d’afficher les corrélations, de suivre les déviances et d’instaurer un dialogue entre l’utilisateur et son système de détection. Les anomalies affichées peuvent être des virus connus, des malwares furtifs, des comportements à risque, de la fraude, une fuite de données, une malveillance numérique…

Les solutions UBA offrent un spectre de détection beaucoup plus large qu’un système de supervision classique ou qu’un antivirus. Elles permettent ,entre autres, l’analyse forensique et l’investigation après une compromission. Elles identifient l’attaque et son cheminement. Elles sont en mesure de détecter une utilisation frauduleuse du système d’information et notamment l’usurpation de droits. Elles réagissent à la perte et au vol de données et se montrent efficaces face à des attaques de type APT. Elles peuvent prédire certains crashs entraînant une indisponibilité de la production et sont utiles pour respecter la conformité aux réglementations et aux meilleures pratiques. Elles détectent les pertes et fraudes financières ainsi que les attaques sur l’image de marque. L’apprentissage statistique permet souvent de diviser par 50 les temps d’analyse des données par les superviseurs !

Pour finir, on notera que lorsque la solution UBA est développée en Europe, sa technologie n’est pas soumise au Patriot Act et les données des clients restent confidentielles, conformément aux réglementations européennes.

Le Machine Learning comme nouveau bouclier

Les technologies big data font une entrée en force dans le domaine de la sécurité numérique. L’apprentissage statistique (Machine Learning) se situe aujourd’hui au centre de l’innovation algorithmique. Il est désormais possible de mettre en œuvre de puissantes solutions d’apprentissage s’appuyant sur des réseaux de neurones, le tout à coût maîtrisé. Dans le domaine spécifique du Deep Learning, Google vient encore de créer l’événement en mettant à disposition la plateforme Opensource Tensorflow contenant une librairie d’apprentissage profond. Cette boite à outils risque de s’imposer rapidement comme un standard mondial à l’image d’Androïd pour la téléphonie mobile. La puissance des réseaux de neurones devient ainsi accessible aux petites et moyennes structures. Google « uberise » en quelque sorte l’intelligence artificielle.

Les concepteurs de solutions de cybersécurité intégrant l’UBA vont devoir se tourner vers les compétences très recherchées de Data Scientist. La pénurie de spécialistes des données, mathématiciens, risque de se faire sentir dans un marché qui fait de plus en plus appel à ce type d’expertise. Les compétences transversales conjuguant la sécurité des systèmes et l’apprentissage statistique seront sans doute les plus recherchées à l’avenir, il devient urgent que notre écosystème de l’enseignement supérieur s’adapte à ces demandes nouvelles afin de former les bons experts…

  1. Minority report, encore !
    Il est urgent que l’on remette du bon sens et de l’humain dans le système pour rappeler que ceux qui acquièrent le pouvoir de décider de ce qui est un comportement déviant ou à risque sont eux-mêmes les plus gros risques si on les assiste par l’informatique et que l’on rend ainsi leur pouvoir totalitaire.

Les commentaires sont fermés.