Lorsque le zéro confiance concerne uniquement l’identité, l’analyse comportementale permet aux organisations d’établir une base de référence des actions « normales » des utilisateurs, telles que la connexion à partir d’une adresse IP particulière, l’utilisation d’un appareil spécifique ou la connexion quotidienne pendant une période similaire.
Tout ce qui s’écarte de cette ligne de base peut entraîner une anomalie – par exemple, se connecter depuis un pays différent à une heure différente de la normale. Une surveillance continue pendant la phase de détection peut signaler les menaces potentielles et permettre une enquête rapide.
L’analyse comportementale aide à identifier les modèles d’activité inhabituels qui peuvent se produire sur le réseau de l’organisation ou dans ses applications cloud.
La capacité à détecter ces types de menaces et à y répondre dès qu’elles apparaissent est essentielle pour garantir un environnement de confiance zéro, et ces analyses comportementales peuvent aider à détecter les menaces extérieures provenant d’acteurs malveillants ainsi que les menaces internes provenant d’employés mécontents ou de comptes compromis.
“L’état d’esprit zéro confiance est une mise en œuvre de l’accès utilisateur et périphérique avec le moindre privilège au niveau du réseau, des applications et des données”, déclare Petko Stoyanov, CTO mondial de Forcepoint. “Les solutions d’analyse comportementale connectent les points d’activités entre les utilisateurs, les appareils, les réseaux, les applications et les données, permettant ainsi la détection, la compréhension et l’application sur le réseau et les applications.”
Zero Trust : repenser la sécurité
Il a expliqué que la confiance zéro est, à bien des égards, une refonte de la sécurité : comment nous accordons l’accès et comment nous surveillons en permanence les utilisateurs et leurs appareils lorsqu’ils accèdent aux applications et aux données.
Les technologies centrales trouvant une application dans l’analyse comportementale pour les modèles de sécurité zéro confiance comprennent l’apprentissage automatique (ML), l’intelligence artificielle (IA) et l’analyse de données.
“L’IA et le ML sont essentiels pour amener le bruit constant des journaux d’activité à un score significatif de type crédit d’un utilisateur et d’un appareil”, déclare Stoyanov. “Le score de type crédit, ou score de confiance, est basé sur le comportement normal d’un utilisateur et sur sa comparaison avec les activités et les comportements de ses pairs.”
Kevin Dunne, président de Pathlock, souligne que ces deux technologies jouent un rôle essentiel dans l’analyse comportementale et les applications dans une stratégie de sécurité zéro confiance. “Il y a tout simplement trop d’utilisateurs et d’activités se produisant dans la plupart des systèmes pour pouvoir détecter un comportement inhabituel sans un certain niveau d’intelligence pour soutenir l’équipe de sécurité”, dit-il.
De plus, il existe de nombreuses menaces évolutives qui ne suivent pas les modèles d’attaques connus dans le passé, il est donc nécessaire de disposer de systèmes qui peuvent aider à exploiter des ensembles de données comportementales pour découvrir des modèles de menaces inconnus observés pour la première fois.
Dunne explique que l’analyse comportementale pourrait identifier un nouvel utilisateur qui effectue une activité inhabituelle, telle que se connecter à une heure non travaillée à partir d’un nouvel emplacement et télécharger d’importantes exportations de données client. “Avec ces informations à l’esprit, les entreprises peuvent mettre à jour leurs politiques de contrôle d’accès, par exemple en exigeant 2FA lors de la connexion à partir d’un nouvel emplacement ou en limitant les téléchargements à une certaine taille lors de la connexion en dehors des heures de travail”, dit-il.
Analyse continue, Recommandations
John Yun, vice-président de la stratégie produit chez ColorTokens, un fournisseur de solutions autonomes de cybersécurité Zero Trust, déclare que si l’on considère le nombre d’applications et de serveurs dans une entreprise typique, c’est un défi de taille pour toute équipe d’analystes de sécurité à maintenir manuellement. “Avec l’aide de l’apprentissage automatique, les analystes de la sécurité peuvent obtenir une analyse continue des politiques existantes ainsi que des recommandations sur de nouvelles politiques”, dit-il.
Yun évoque un cas d’utilisation réel impliquant une organisation de soins de santé qui a utilisé une stratégie de confiance zéro après avoir connu une fréquence accrue d’attaques de ransomwares. Le maintien d’une sauvegarde sécurisée de leur DSE était la priorité absolue, et l’organisation devait contrôler étroitement les processus pendant la sauvegarde et, en même temps, minimiser toute exposition.
“La gestion manuelle de ce processus était difficile avec tant de systèmes interconnectés et de flux de données”, explique Yun. “Dans ce cas, une solution de micro-segmentation optimisée par l’apprentissage automatique a été utilisée pour appliquer des politiques strictes ainsi que pour créer de nouvelles politiques recommandées à déployer.”
Yun souligne que si l’analyse du comportement peut jouer un rôle important dans l’authentification zéro confiance, elle est plus souvent applicable à d’autres étapes, par exemple, concernant l’inférence et la prédiction, où les lignes de base sont mesurées et comparées. “Bien que l’apprentissage automatique et l’analyse comportementale puissent jouer un rôle important dans l’authentification, dans un modèle de confiance zéro, ces innovations sont mieux exploitées pour faciliter la gestion continue et l’application des politiques”, a-t-il déclaré.
Dunne ajoute que les analyses comportementales sont déjà assez répandues dans l’industrie et sont utilisées par les équipes de sécurité dans bon nombre des plus grandes entreprises du monde.
Analyse comportementale dépendante du ML/AI
Josh Martin, évangéliste des produits de la société de sécurité Cyolo, explique que l’analyse comportementale ne serait pas possible sans ML et AI. “Les données collectées à partir de la phase de détection seront introduites dans plusieurs modèles d’IA et de ML qui permettront une inspection plus approfondie des habitudes d’accès pour détecter des modèles ou des valeurs aberrantes pour des utilisateurs spécifiques”, dit-il.
Il décrit un cas d’utilisation potentiel pour l’analyse comportementale et la confiance zéro axée sur un membre de l’équipe travaillant à domicile. Cet utilisateur se connecte tous les jours à partir de son Mac d’entreprise vers 8h00 du matin et se connectera soit à Salesforce soit à O365 à la première heure.
“Étant donné que c’est normal pour l’utilisateur, les mécanismes d’IA/ML commenceront à rechercher tout ce qui se trouve en dehors de cette ligne de base”, déclare Martin. «Ainsi, lorsque l’utilisateur prend des vacances dans un état différent et utilise un ordinateur portable Windows personnel pour accéder à ADP vers 22 heures, cela déclencherait une alerte et arrêterait d’autres tentatives d’authentification jusqu’à ce qu’un analyste de la sécurité puisse enquêter. Dans ce cas, il aurait pu s’agir d’une entité malveillante utilisant des informations d’identification volées pour accéder aux informations de paie.
De son point de vue, l’analyse comportementale est susceptible de devenir la nouvelle norme à mesure que les produits et les connaissances d’IA/ML deviennent plus accessibles aux masses. « Au cours des 10 prochaines années, nous disposerons probablement d’outils de sécurité capables de détecter des violations à des kilomètres de la charge utile nuisible réellement livrée », déclare Martin.
Potentiel pour combler le déficit de compétences en cybersécurité
Petko Stoyanov, CTO mondial de Forcepoint, est d’accord, notant que l’industrie voit déjà des éléments de base de l’IA, du ML et de l’analyse dans la gestion des informations et des événements de sécurité (SIEM) et d’autres solutions. “Compte tenu de la pénurie de talents qualifiés en cybersécurité, les solutions d’analyse comportementale sont des capacités clés pour simplifier la détection et le contrôle d’accès”, a-t-il déclaré. “Ils aident également les analystes de sécurité moins qualifiés en mettant en évidence des indicateurs de comportements de comptes d’utilisateurs ou d’appareils potentiellement suspects ou moins fiables.”
Stoyanov souligne que sans solutions d’analyse comportementale pour guider et former les analystes, nous continuerons à voir une demande pour de plus en plus de talents.
Les applications de sécurité supplémentaires pour l’analyse comportementale incluent la détection des écarts dans la façon dont les appareils communiquent entre eux ou la façon dont les charges de travail cloud communiquent entre elles, explique Martin. “Cela pourrait détecter des processus anormaux augmentant les erreurs d’utilisation ou de configuration par rapport à d’autres lignes de base.”
À l’avenir, les entreprises chercheront à augmenter davantage les données qu’elles peuvent évaluer au sein de leurs systèmes de sécurité en améliorant les flux de données et les sources connectées à leurs systèmes d’analyse, déclare Dunne. De plus, ils chercheront des moyens d’intégrer la sortie des solutions d’analyse aux plateformes SOAR pour débloquer les capacités de répondre aux risques les plus impactants par programmation sans avoir à attendre une intervention humaine.
“L’analyse comportementale est actuellement exploitée pour répondre aux menaces en cours”, déclare Dunne. “Je pense que l’analyse comportementale sera également étendue aux cas d’utilisation prospectifs, comme la prévention de la prochaine menace avant qu’elle ne se produise.”
Que lire ensuite :
La crise en Ukraine et l’augmentation des menaces de cyberattaques renforcent les arguments en faveur du Zero Trust
Qu’est-ce que la gestion des identités et des accès client (CIAM) ?
8 conseils pour créer une culture de cybersécurité
