L’analyse comportementale contre les attaques 0-day

L’analyse comportementale offre aujourd’hui aux équipes de sécurité de multiples possibilités pour protéger en temps réel nos systèmes d’informations aux niveaux système, réseau et utilisateurs.

Elles sont particulièrement efficaces dans la lutte contre les attaques 0-Day, des attaques encore non référencées et donc particulièrement difficiles à détecter.

Dans l’univers de la sécurité informatique, l’analyse comportementale fait partie des nouvelles solutions « tendances ».

Cette approche de la sécurité permet de surveiller et de détecter en temps réel les comportements anormaux survenant dans le système d’information de l’entreprise. Elle offre la capacité aux équipes de sécurité d’intervenir rapidement face à des attaques ou d’importants problèmes techniques. Dès lors qu’une activité sort de l’ordinaire (par rapport aux comportements normaux définis par les solutions d’analyse comportementale installées), elle génère automatiquement une remontée d’alerte vers les analystes en charge de la sécurité de l’entreprise. Qu’il s’agisse d’une activité volontaire ou involontaire et qu’elle soit issue d’une machine ou d’un être humain.

De nombreux acteurs se sont positionnés sur ce marché. Nous entendons souvent parler d’UBA (User Behavior Analytics ou analyse comportementale des utilisateurs), mais l’analyse comportementale s’étend bien plus largement à travers le système et le réseau. Elle offre alors une protection réellement efficace notamment contre les attaques très difficiles à détecter, dites 0-Day.

Lutter contre l’exploitation de vulnérabilités encore inconnues

Surfant sur le buzz de ces dernières années à propos des attaques 0-Day, les technologies offrant la possibilité de protéger son système d’information contre ces attaques méconnues se sont multipliées. Pour rappel, une attaque dite« 0-day », consiste à exploiter une vulnérabilité informatique qui n’est pas encore référencée et contre laquelle nos équipements de sécurité classiques ne peuvent donc pas lutter puisque ceux-ci s’appuient sur une base de signatures et de modèles référencés.

L’analyse comportementale système est basée sur l’analyse de fichiers dans des bacs à sable ou sur la modification du système du poste de travail.

Des technologies proposent aujourd’hui d’écouter sur le réseau pour intercepter un certain type de fichiers, et d’observer leur comportement sur une machine dite « bac à sable » totalement isolée du réseau. Elles peuvent ensuite lister l’ensemble des actions effectuées par ce fichier et choisir si ce comportement peut s’avérer dangereux pour le système d’information. Un fichier qui, par exemple, modifie des valeurs d’une clé de registre, fait un appel vers un serveur extérieur, ou modifie le fonctionnement d’un process interne peut être considéré comme à surveiller.

D’autres acteurs, afin d’être encore plus efficaces, permettent de protéger directement les postes de travail. Ils ont choisi de se placer au niveau système et de surveiller toutes utilisations de méthodes qualifiées d’« exploit » qui permettent d’exploiter les vulnérabilités. Sans base de signature, ils remontent toute tentative malveillante directement à l’utilisateur.

L’analyse comportementale du réseau est basée sur l’analyse des modifications des flux en volume ou dans le temps

L’étude du comportement dans notre système d’information peut être basée sur l’utilisation des événements réseaux. Les activités réseaux sont très largement identiques d’une journée sur l’autre, il devient ainsi assez simple de définir un comportement dit normal. Avec un simple firewall de niveau 4, on peut définir les flux réseaux dits normaux entre les différentes machines à travers une politique de sécurité.

Un nouveau marché est apparu récemment concernant l’analyse comportementale. Celui-ci permet à partir d’un apprentissage de la normalité des échanges réseaux, basé sur les logs des équipements, de lever des alertes lorsqu’un comportement anormal est observé. Ces technologies permettent de relever des échanges dans une période anormale ou des paquets d’une taille non classique.

Par exemple, des requêtes d’authentification vers un annuaire depuis un serveur frontal web sont complètement licites durant les heures ouvrées, alors que ce type de flux effectué en masse pendant la nuit est anormal. Un pare-feu classique laisse circuler ce trafic de flux puisqu’il correspond à sa matrice des flux, alors que les solutions évoquées permettent de lever une alerte.

Au bout de la chaîne : l’analyse comportementale orientée utilisateurs

En extrapolant nous pouvons imaginer une analyse comportementale directement des administrateurs systèmes et réseaux. De la même façon que pour le trafic réseau, nous savons que les tâches des administrateurs peuvent suivre une normalité. Il est normal qu’un administrateur de base de données accède à ces serveurs et utilise des requêtes SQL. Il est tout aussi normal qu’un administrateur système accède à ce même serveur. Seules les actions qu’il effectue sur celui-ci sont différentes.

Nous pouvons aller plus loin en définissant une méthode de travail en fonction des habitudes et des bonnes pratiques que les administrateurs utilisent au quotidien. Ainsi, un administrateur système qui se connecte sur une base de données et modifie des tables peut faire l’objet d’une remontée d’alerte puisque son comportement n’est pas normal.

Les logs des serveurs et équipements de sécurité regorgent d’informations qui permettent de définir un comportement normal des utilisateurs et donc en déduire un comportement anormal. Le meilleur atout pour définir cela, est la mise en place d’un bastion d’administration qui permet de « proxyfier » les requêtes administrateur et donc une analyse poussée de leur comportement.

En conclusion, l’analyse comportementale offre aujourd’hui de multiples possibilités pour protéger nos systèmes d’informations à tous les niveaux. Mais malheureusement nous ne pouvons toujours pas prétendre à une infrastructure totalement hermétique aux attaques. Le comportement humain restant le vecteur le plus utilisé et le plus faillible dans nos sociétés actuelles.