Détecter les attaques ciblées : User Behavior Analytics (UBA)

Dans les articles précédents, notre hacker avait pris le contrôle d’un ordinateur appartenant à une employée des comptes payables et recevables.

Le seul moyen de stopper ce hacker avait été pour nous de détecter le vecteur initial de compromission (grâce à des technologies d’analyses comportementales des programmes téléchargés et exécutés).
Au-delà du vecteur initial de compromission, le hacker n’avait utilisé que des commandes «légitimes» et donc indétectables avec des solutions anti-virus.
Parfois les hackers sont moins chanceux : Ils prennent le contrôle d’un ordinateur appartenant à un employé dont les droits sont limités.
Pour atteindre leurs objectifs, ils doivent alors explorer l'environnement informatique de l'entreprise à la recherche de failles qui pourraient les aider à augmenter leurs droits :
- Ils essaient de s’authentifier à des comptes et services
- Ils se connectent avec plusieurs identifiants sur le même ordinateur
- Ils se connectent à plusieurs ordinateurs avec le même compte
- Ils se connectent en dehors des heures de travail
- Etc.
Ce qu'il faut comprendre c'est que lorsqu’un hacker essaie d’augmenter ses droits le comportement des comptes et des ordinateurs compromis n'est pas normal.
Conscients de cela et avec l’émergence du «Big Data» des sociétés comme Microsoft (ATA), Rapid7 (User Insight / UBA) et Splunk (UBA) ont développé des solutions capables d’analyser le comportement normal d'un environnement informatique et de soulever des alertes lorsqu'un comportement anormal est détecté.
Le concept est simple
Vous intégrez toutes vos sources de logs dans ces solutions :

broken image
Et elles vous informent dès qu’un évènement suspect apparait :
broken image
broken image
broken image
La magie de ces solutions c’est qu’aucune règle ne doit être configurées. Ces solutions se configurent par elles mêmes grâce à l'intelligence artificielle.

Avec des efforts limités il est donc possible de détecter les hackers essayant d’augmenter leurs privilèges dans votre environnement.

Il est a noté, que bien que ces solutions peuvent détecter les comportements anormaux. Elles ne vous seront d'aucune utilité si les alertes ne sont pas correctement interprétées par une personne comprenant les techniques utilisées par les hackers.
Des questions concernant cet article? 
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde. 
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com
Billet précédentBillet suivant
Utilisation des cookies
Nous utilisons des cookies pour améliorer l'expérience de navigation, la sécurité et la collecte de données. En acceptant, vous consentez à l'utilisation de cookies à des fins publicitaires et d'analyse. Vous pouvez modifier vos paramètres de cookies à tout moment. En savoir plus
Accepter tout
Paramètres
Refuser Tout
Paramètres des Cookies
Cookies nécessaires
Ces cookies sont destinés pour des fonctionnalités de base telles que la sécurité, la gestion du réseau et l'accessibilité. Ces cookies ne peuvent pas être désactivés.
Cookies pour les statistiques
Ces cookies nous aident à mieux comprendre comment les visiteurs interagissent avec notre site web et nous aident à découvrir les erreurs de navigation.
Préférence pour les Cookies
Ces cookies permettent au site web de se souvenir des choix que vous avez faits afin de fournir une fonctionnalité et une personnalisation améliorées.
Enregistrer