Análise de comportamento de usuários e entidades: Inteligência Artificial auxiliando na proteção de seu ambiente de TI

Identidades são fáceis de falsificar, mas não ações.

Monitorar de perto o comportamento de uma pessoa pode revelar muito sobre suas verdadeiras intenções. Da mesma forma, acompanhar de perto as atividades de uma máquina pode expor possíveis problemas de segurança. A combinação de informações de segurança e gerenciamento de eventos (SIEM) com análise de comportamento de usuários e entidades (UEBA) pode trazer vários usuários e dispositivos pertencentes a uma empresa sob vigilância. O UEBA utiliza a Inteligência Artificial através do aprendizado de máquina para identificar anomalias nas atividades dos usuários e depois apresentá-las aos administradores de rede para que tomem ações corretivas antes que se tornem desastrosas.

É um dia agitado no hospital. Enquanto vários pacientes aguardam sua vez no balcão de atendimento, os computadores em todo o hospital congelam um a um, exibindo uma nota de resgate que exige bitcoins. Nesse cenário, não apenas as operações da clínica, mas centenas de vidas podem estar em risco. Este é um exemplo de locker ransomware, que torna inacessível a interface do usuário de qualquer dispositivo infectado. 

Os ataques de ransomware envolvem vários estágios: distribuição, infecção, preparo, varredura, criptografia e dia de pagamento. O UEBA pode detectar acessos a arquivos excessivos ou a execução de arquivos não nativos e aumentar a pontuação de risco da entidade correspondente. Isso alerta o pessoal de segurança a tomar medidas preventivas e eliminar o ataque em sua fase inicial.

Os atacantes de força bruta visam principalmente organizações com enormes reservas de dados críticos, nas quais as contas de usuário provavelmente têm senhas fracas. Instituições de ensino superior e departamentos governamentais são mais propensos a serem vítimas. Além de interromper as funções da organização, os invasores podem filtrar os arquivos de pesquisa e comprometer os bancos de dados confidenciais. O UEBA pode identificar quando um usuário efetua login após várias tentativas de login com falha ou quando é feita uma tentativa de acesso ao servidor a partir de um local remoto, em vez do acesso regular do escritório. Ambas as ações aumentam a pontuação de risco e servem como um indicador de uma ameaça em potencial, ajudando a evitar um ataque antes do início real.

Não é segredo que os detalhes de milhões de pessoas no cartão de crédito estão disponíveis na dark web. A exfiltração de dados pelos funcionários de um banco por motivos monetários e vingativos é uma das maneiras pelas quais esses detalhes acabam aí. Os ataques internos são extremamente bem-sucedidos e difíceis de detectar, pois o usuário já tem permissões para acessar dados críticos. Muitas empresas não têm ideia de quais informações foram roubadas até serem usadas para executar ataques ilícitos.  

Com vários regulamentos de conformidade de proteção de dados em vigor, esses ataques não apenas mancham a reputação da organização envolvida, mas também podem causar problemas legais. O UEBA pode ser um salvador em tais cenários, identificando anomalias de padrão, como um funcionário imprimindo um arquivo enquanto o comportamento esperado está apenas adicionando ou excluindo entradas nesse arquivo ou banco de dados específico.

A informação é um recurso valioso no mundo de hoje; toda organização que possui dados valiosos está sob constante ameaça de exposição. O UEBA é um cão de guarda ideal que aprende continuamente com as ações do usuário e indica possíveis ameaças. 

Ficar vigilante com a UEBA pode evitar que você entre na lista “empresas mais atingidas por ataques cibernéticos”.

O Log360 é uma solução única para todos os seus desafios de gerenciamento de log e segurança de rede. Essa solução é totalmente integrada combina os recursos do ADAudit Plus, do EventLog Analyzer, do O365 Manager Plus, do Exchange Reporter Plus e do Cloud Security Plus. Com uma combinação versátil, você terá controle total sobre sua rede; poderá auditar as alterações do Active Directory, os logs de dispositivos de rede, os Microsoft Exchange Servers, o Microsoft Exchange Online, o Azure Active Directory e sua infraestrutura de nuvem pública, tudo a partir de um único console.

Inicie já sua avaliação de 30 dias grátis do Log360 UEBA, contando sempre com o apoio da equipe da ACSoftware.

ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.

Deixe um comentário

Blog ACSoftware - ManageEngine