Analyse comportementale
Qu’est-ce qu’une analyse comportementale ?
Une analyse comportementale utilise l’autoapprentissage, l’intelligence artificielle, le Big Data et les données chiffrées pour identifier les comportements malveillants en analysant les différences dans les activités quotidiennes normales.
Définissons l’analyse comportementale
Les attaques malveillantes ont un point commun : elles se comportent toutes différemment des comportements habituels au sein d’un système ou d’un réseau. Les entreprises peuvent souvent identifier les comportements malveillants via des signatures directement liées à certains types d’attaques bien connues. Cependant, à mesure que les attaques deviennent de plus en plus sophistiquées, les cybercriminels développent continuellement de nouvelles tactiques, techniques et procédures (TTP) qui leur permettent non seulement d’entrer dans des environnements vulnérables, mais aussi de se déplacer latéralement sans être détectés.
C’est là qu’intervient l’analyse comportementale. À l’aide d’énormes volumes de données de terminaux non filtrées, le personnel de sécurité peut désormais utiliser des outils basés sur le comportement, des algorithmes et l’autoapprentissage pour déterminer le comportement normal des utilisateurs de tous les jours, et ce qui n’en fait pas partie. L’analyse comportementale permet d’identifier les événements, les tendances et les schémas, actuels et historiques, qui sont en dehors des paramètres des normes quotidiennes.
En se concentrant sur ces anomalies, les équipes de sécurité peuvent gagner en visibilité et identifier les tactiques comportementales inattendues des cybercriminels dès le début, avant qu’ils exécutent entièrement leur plan d’attaque. L’analyse comportementale peut également aider à identifier les causes profondes et fournir des informations pour identifier et anticiper les prochaines attaques similaires.
Quels comportements indiquent une activité malveillante ?
Une planification inhabituelle des événements, des suites d’actions anormales ou un mouvement accru des données ne sont que quelques-uns des signes d’une activité malveillante dans un environnement. Voici quelques exemples spécifiques de comportements moins normaux pouvant mener à l’identification d’une attaque en cours.
- Un lien dans un fichier d’apparence légitime se charge en mémoire, puis charge à distance un script pour récupérer les données confidentielles qui sont renvoyées au cybercriminel.
- Du code malveillant est injecté dans des applications déjà installées, telles que Microsoft Word, Flash, Adobe PDF Reader, un navigateur Web ou JavaScript, pour cibler les vulnérabilités, puis exécuter le code malveillant.
- Les outils natifs du système, tels que Microsoft Windows Management Instrumentation (WMI) et les langages de script Microsoft PowerShell qui sont généralement considérés comme hautement fiables, sont conçus pour exécuter les scripts à distance.
Industry Pulse : l’analyse comportementale est désormais indispensable.
Au début de l’année 2016, le SANS Institute a reconnu l’importance de l’analyse comportementale dans un livre blanc intitulé Using Analytics to Predict Future Attacks and Breaches. L’auteur note dans sa conclusion : « L’exploitation de plates-formes d’analyse de données plus avancées pour intégrer des types de données plus nombreux et différents, en se concentrant sur une visibilité accrue sur les menaces réseau, et en automatisant les actions de détection et de réponse, peut aider les équipes de sécurité aujourd’hui et à l’avenir à évoluer pour relever ces défis. »
L’avenir est désormais là, et en 2018, l’analyse comportementale est essentiellement une exigence de base pour la sécurité avancée des terminaux. En fait, dans son rapport Magic Quadrant sur la plate-forme Endpoint Protection Platform, Gartner considère l’autoapprentissage et la surveillance du comportement comme les atouts des visionnaires et des leaders. Le rapport note également que « les fournisseurs les plus visionnaires et leaders en 2018 et 2019 seront ceux qui utiliseront les données recueillies auprès de leurs systèmes de [détection et réponse des terminaux] pour fournir des conseils et des conseils exploitables et adaptés à leurs clients. »
17 % des violations en 2017 ont été causées par une erreur humaine (par opposition à une intention malveillante délibérée).
La réponse : pensez au Cloud
Pour libérer entièrement l’analyse comportementale, les sociétés doivent tirer parti du Cloud et de son immense puissance de calcul, de sa scalabilité illimitée et de sa facilité de gestion. Le Cloud offre une approche proactive qui combine le Big Data avec des analyses puissantes pour déjouer les attaques émergentes les plus récentes et les plus menaçantes.
Par exemple, le Cloud permet d’effectuer des analyses en continu, dans lesquelles l’activité normale et anormale des terminaux peut être surveillée et comparée à toute donnée historique non filtrée. En analysant ces flux d’événements et en les comparant à ceux qui semblent normaux, le Cloud crée un système mondial de surveillance des menaces qui non seulement détecte les attaques, mais prédit celles qui n’ont jamais été vues auparavant.
Cette puissante approche n’est tout simplement pas possible avec les solutions antivirus traditionnelles, qui sont basées sur les signatures, mais avec des antivirus nouvelle génération (NGAV).
L’antivirus nouvelle génération (NGAV) dans le Cloud offre une communication bidirectionnelle avec les terminaux, de sorte que toutes les données non filtrées peuvent être surveillées et transformées en analyses prédictives qui protègent les entreprises de manière proactive contre les attaques sophistiquées.
De plus, le Cloud offre les avantages d’infrastructure dont la plupart des entreprises bénéficient déjà avec d’autres logiciels d’entreprise : simplification, opérations moins coûteuses, déploiement plus rapide et technologie la plus récente et la plus innovante.
Produits, solutions et ressources VMware liés aux données chiffrées du Big Data
Protéger vos applications et données avec une sécurité intrinsèque
Une nouvelle approche de sécurité intrinsèque : la sécurité intrinsèque est une approche fondamentalement différente pour sécuriser votre entreprise.
Pare-feu service-defined VMware NSX
Faites confiance à un pare-feu interne de couche 7 distribué avec état et reposant sur NSX pour sécuriser le trafic du Data Center sur les charges de travail virtuelles, physiques, conteneurisées et Cloud.
Plate-forme d’espace de travail numérique moderne
Déployez et gérez de manière simple et sécurisée toute application sur n’importe quel terminal grâce à VMware Workspace ONE, une plate-forme d’espace de travail numérique intelligente.