O dicionário de Collin define “padrão de comportamento” como uma forma recorrente de agir de um indivíduo ou grupo em relação a um determinado objeto ou situação. A análise e a compreensão dos padrões de comportamento dos indivíduos provou fornecer soluções aprofundadas para problemas em diferentes esferas da vida, incluindo a segurança cibernética.
Quando se trata de organizações que lutam contra ameaças cibernéticas, as soluções de segurança tradicionais baseadas em regras não podem fornecer visibilidade de ataques cibernéticos que estão cada vez mais sofisticados. Vemos esse padrão em violações bem-sucedidas que ocorrem diariamente. Além disso, no processo de detecção e correção rápida de ameaças à segurança, as ferramentas de segurança tradicionais tendem a sobrecarregar os analistas de segurança com alertas sem contexto.
É aqui que a análise de comportamento de usuário e entidade (UEBA – User and Entity Behavior Analytics) oferece uma solução mais eficiente. Uma solução UEBA orquestra análises avançadas por meio de enriquecimento de dados, ciência de dados e aprendizado de máquina para combater ameaças avançadas. Por meio desse processo, a UEBA produz um menor volume de alertas mais precisos e reduz o número de falsos positivos. Incorporar análises de comportamento em sua solução SIEM ajuda a lidar com o cenário de ameaças de segurança anormais e avançadas, juntamente com a detecção de ameaças tradicional baseada em regras.
Vejamos alguns casos de uso em que a análise do comportamento desempenha um papel significativo na detecção de ataques.
Diferenciar entre comportamentos normais e maliciosos
Não é segredo que as ameaças internas são uma das muitas fontes de perda de dados confidenciais. Aqui, o agente da ameaça é um insider mal-intencionado ou comprometido. Detectar ameaças internas pode ser desafiador, pois a maioria das ferramentas de segurança não consegue diferenciar um usuário legítimo de um ator de ameaça potencial.
Nesse caso, uma solução UEBA detecta usuários executando atividades suspeitas que estão fora de sua linha de base normal. A análise do comportamento leva em consideração o histórico do comportamento de um usuário específico e detecta atividades anormais como:
- Logins em horas incomuns, em frequências incomuns, de locais incomuns e acessando dados ou sistemas incomuns, como servidores SQL.
- Mudanças de escalonamento de privilégios para sistemas críticos.
- Acesso não autorizado a contas de usuário.
- A exfiltração de dados tenta correlacionar eventos aparentemente não relacionados, como fazer login em um momento incomum, acessar um banco de dados do servidor SQL e inserir uma unidade USB.
Detectando ativos comprometidos com rapidez e precisão
Quando se trata de ataques cibernéticos, alguns dos ativos inicialmente visados incluem sistemas, hosts, contas ou dispositivos. Os agentes de ameaças mal-intencionados podem operar sem serem detectados na rede da sua organização por semanas ou até meses. Usando a análise de comportamento, a detecção de ameaças à segurança, como dispositivos comprometidos, torna-se mais fácil, mais precisa e muito mais rápida.
Nesse caso, a solução UEBA detecta atividades anômalas monitorando o comportamento das entidades em sua organização. A solução monitora:
- Contas de usuário privilegiadas para comprometimento.
- Servidores para atividades que se desviam da linha de base normal.
- Comportamento anômalo em tempo real, como aumento do tráfego em dispositivos de rede, incluindo dispositivos Windows, roteadores e firewalls.
Detectando tentativas de exfiltração de dados
A exfiltração de dados ocorre quando dados confidenciais são transferidos para fora da organização sem autorização. Isso pode acontecer quando um usuário mal-intencionado transfere dados copiando o conteúdo para um dispositivo físico ou pela Internet. Também pode ocorrer por meio de infecções por malware nos sistemas da sua organização.
Nesse caso, a solução UEBA monitora dispositivos de rede, detecta e fornece alertas em tempo real para eventos suspeitos, como:
- Instalações incomuns de software em dispositivos específicos.
- Downloads incomuns ou acesso a dados confidenciais.
- Quantidades incomuns de tráfego de rede que podem ser uma indicação de grande transferência de dados, contradizendo a linha de base normal do usuário ou da máquina que está transferindo os dados.
À medida que os ataques de hoje se tornam cada vez mais sofisticados e as ameaças à segurança emanam de fora e de dentro da rede, sua organização precisa de uma solução de segurança habilitada para detectar e mitigar ameaças incomuns. Uma solução UEBA pode se adaptar ao ambiente de sua organização rapidamente, aprendendo e analisando o comportamento de seus usuários e entidades, e alertá-lo sobre atividades anômalas que se desviam da norma. Também ajuda você a se preparar para ameaças incomuns de usuários internos e externos mal-intencionados.
Entre em contato conosco agora mesmo para saber mais sobre o recurso de Inteligência Artificial – UEBA do Log360 e sobre como você pode usar essa tendência de segurança cibernética mais recente para fortalecer suas defesas. Faça já o upgrade ou inicie sua avaliação gratuita de 30 dias do Log360 da ManageEngine, contando sempre com o apoio da equipe ACSoftware.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.