Analyse comportementale

Qu’est-ce qu’une analyse comportementale ?

Une analyse comportementale utilise l’autoapprentissage, l’intelligence artificielle, le Big Data et les données chiffrées pour identifier les comportements malveillants en analysant les différences dans les activités quotidiennes normales.

Définissons l’analyse comportementale
Les attaques malveillantes ont un point commun : elles se comportent toutes différemment des comportements habituels au sein d’un système ou d’un réseau. Les entreprises peuvent souvent identifier les comportements malveillants via des signatures directement liées à certains types d’attaques bien connues. Cependant, à mesure que les attaques deviennent de plus en plus sophistiquées, les cybercriminels développent continuellement de nouvelles tactiques, techniques et procédures (TTP) qui leur permettent non seulement d’entrer dans des environnements vulnérables, mais aussi de se déplacer latéralement sans être détectés.

C’est là qu’intervient l’analyse comportementale. À l’aide d’énormes volumes de données de terminaux non filtrées, le personnel de sécurité peut désormais utiliser des outils basés sur le comportement, des algorithmes et l’autoapprentissage pour déterminer le comportement normal des utilisateurs de tous les jours, et ce qui n’en fait pas partie. L’analyse comportementale permet d’identifier les événements, les tendances et les schémas, actuels et historiques, qui sont en dehors des paramètres des normes quotidiennes.

En se concentrant sur ces anomalies, les équipes de sécurité peuvent gagner en visibilité et identifier les tactiques comportementales inattendues des cybercriminels dès le début, avant qu’ils exécutent entièrement leur plan d’attaque. L’analyse comportementale peut également aider à identifier les causes profondes et fournir des informations pour identifier et anticiper les prochaines attaques similaires.

Rubriques connexes

Quels comportements indiquent une activité malveillante ?

Une planification inhabituelle des événements, des suites d’actions anormales ou un mouvement accru des données ne sont que quelques-uns des signes d’une activité malveillante dans un environnement. Voici quelques exemples spécifiques de comportements moins normaux pouvant mener à l’identification d’une attaque en cours.

Un lien dans un fichier d’apparence légitime se charge en mémoire, puis charge à distance un script pour récupérer les données confidentielles qui sont renvoyées au cybercriminel.
Du code malveillant est injecté dans des applications déjà installées, telles que Microsoft Word, Flash, Adobe PDF Reader, un navigateur Web ou JavaScript, pour cibler les vulnérabilités, puis exécuter le code malveillant.
Les outils natifs du système, tels que Microsoft Windows Management Instrumentation (WMI) et les langages de script Microsoft PowerShell qui sont généralement considérés comme hautement fiables, sont conçus pour exécuter les scripts à distance.

Industry Pulse : l’analyse comportementale est désormais indispensable.

Au début de l’année 2016, le SANS Institute a reconnu l’importance de l’analyse comportementale dans un livre blanc intitulé Using Analytics to Predict Future Attacks and Breaches. L’auteur note dans sa conclusion : « L’exploitation de plates-formes d’analyse de données plus avancées pour intégrer des types de données plus nombreux et différents, en se concentrant sur une visibilité accrue sur les menaces réseau, et en automatisant les actions de détection et de réponse, peut aider les équipes de sécurité aujourd’hui et à l’avenir à évoluer pour relever ces défis. »

L’avenir est désormais là, et en 2018, l’analyse comportementale est essentiellement une exigence de base pour la sécurité avancée des terminaux. En fait, dans son rapport Magic Quadrant sur la plate-forme Endpoint Protection Platform, Gartner considère l’autoapprentissage et la surveillance du comportement comme les atouts des visionnaires et des leaders. Le rapport note également que « les fournisseurs les plus visionnaires et leaders en 2018 et 2019 seront ceux qui utiliseront les données recueillies auprès de leurs systèmes de [détection et réponse des terminaux] pour fournir des conseils et des conseils exploitables et adaptés à leurs clients. »

17 % des violations en 2017 ont été causées par une erreur humaine (par opposition à une intention malveillante délibérée).

La réponse : pensez au Cloud

Pour libérer entièrement l’analyse comportementale, les sociétés doivent tirer parti du Cloud et de son immense puissance de calcul, de sa scalabilité illimitée et de sa facilité de gestion. Le Cloud offre une approche proactive qui combine le Big Data avec des analyses puissantes pour déjouer les attaques émergentes les plus récentes et les plus menaçantes.

Par exemple, le Cloud permet d’effectuer des analyses en continu, dans lesquelles l’activité normale et anormale des terminaux peut être surveillée et comparée à toute donnée historique non filtrée. En analysant ces flux d’événements et en les comparant à ceux qui semblent normaux, le Cloud crée un système mondial de surveillance des menaces qui non seulement détecte les attaques, mais prédit celles qui n’ont jamais été vues auparavant.

Cette puissante approche n’est tout simplement pas possible avec les solutions antivirus traditionnelles, qui sont basées sur les signatures, mais avec des antivirus nouvelle génération (NGAV).

L’antivirus nouvelle génération (NGAV) dans le Cloud offre une communication bidirectionnelle avec les terminaux, de sorte que toutes les données non filtrées peuvent être surveillées et transformées en analyses prédictives qui protègent les entreprises de manière proactive contre les attaques sophistiquées.

De plus, le Cloud offre les avantages d’infrastructure dont la plupart des entreprises bénéficient déjà avec d’autres logiciels d’entreprise : simplification, opérations moins coûteuses, déploiement plus rapide et technologie la plus récente et la plus innovante.

Le multicloud aujourd'hui : Le Cloud à l'heure du chaos

87 % des entreprises utilisent au moins deux environnements Cloud pour exécuter leurs applications. Le multicloud accélère la transformation digitale mais augmente aussi la complexité et les risques. Résultat : une situation chaotique pour de nombreuses organisations.

Supprimer la situation chaotique du Cloud grâce aux services VMware Cross-Cloud Services

Anywhere Workspace

Plate-forme applicative

Infrastructure Cloud et Edge

Gestion du Cloud

Hyperviseur de poste de travail

Sécurité et réseau

Exécutez les solutions VMware dans tous les Clouds. Dans n’importe quel environnement. N’importe où.

Sur les Clouds publics et hybrides

Sur Clouds privés et locaux

Solutions

Par secteur d’activité

Solutions IA de VMware

Pour les clients

Pour les partenaires

Collaborer avec des partenaires pour assurer la réussite des clients

Outils et formation

Services

Support

Marketplace

Blogs et communautés

Clients

Événements