C'est ce que prédit Avivah Litan, analyste chez Gartner, dans son dernier article de blog, La disparition du marché de l'UEBA. Bien sûr, cela a attiré notre attention ici à Vectra. Nous ne sommes pas une entreprise autonome d'analyse du comportement des entités utilisatrices (UEBA), et nous ne voulons pas l'être. Nous sommes avant tout une entreprise d'IA qui donne des moyens d'action aux chasseurs de menaces. Mais nous nous retrouvons souvent dans cette discussion avec des personnes qui croient que l'analyse du comportement de l'entité utilisatrice résoudra à elle seule les problèmes du monde (et permettra peut-être aussi de faire du café le matin).
Plus sérieusement, il est difficile de comprendre les nuances technologiques lorsque l'objectif final est toujours le même. L'objectif de Vectra est de chasser les menaces. Il en va de même pour l'UEBA, mais avec une nuance : en termes simples, il s'agit d'identifier les utilisateurs qui agissent différemment.
C'est là que réside le problème. L'UEBA part du principe que tout comportement anormal est mauvais, ce qui, tout le monde le sait, n'est pas vrai. Au lieu de se contenter de détecter les comportements anormaux, il est bien plus important de détecter avec le plus haut degré de certitude la gravité des menaces réelles qui pèsent sur les actifs clés.
Au fond, il s'agit de la différence entre les modèles d'anomalies simples et les modèles de comportement des attaquants, plus vitaux, sur lesquels Vectra se concentre. Les anomalies spécifiques que vous recherchez et la manière dont elles sont combinées avec des heuristiques et d'autres techniques sont essentielles.
La bonne combinaison des deux vous permet de vous concentrer sur les comportements révélateurs des menaces qui mettent en évidence les véritables cyberattaquants, plutôt que de vous obliger à déterminer manuellement si de simples bizarreries peuvent mener à quelque chose de plus grave.
M. Litan de Gartner ajoute que les fournisseurs d'UEBA seront absorbés par le marché de la gestion des informations sur les événements de sécurité (SIEM). D'après mes propres observations, cette évolution est tout à fait logique - l'UEBA exploite les journaux pour les analyser, ce qui se fait déjà dans les SIEM.
Grâce à l'intelligence artificielle qui permet une chasse automatisée aux menaces en temps réel, Vectra détecte les comportements d'attaque à l'intérieur des réseaux et les classe par ordre de priorité avec des scores de menace et de certitude.
Ces informations critiques provenant de Vectra sont facilement transmises aux solutions UEBA, endpoint detection and response, NAC et firewall, ce qui automatise les capacités de détection et de réponse en temps réel.
Vectra préconise une approche architecturale pour réaliser cette intégration de l'écosystème. Ce blog explique comment nous nous inscrivons dans l'architecture de sécurité adaptative de Gartner et fournit des conseils sur la cartographie de votre écosystème et l'intégration d'outils et de systèmes de sécurité disparates, y compris les SIEM.