Análise de comportamento de usuários e entidades: o guardião inteligente de seus negócios

Identidades são fáceis de falsificar, mas não ações. Monitorar de perto o comportamento de uma pessoa pode revelar muito sobre suas verdadeiras intenções. Da mesma forma, observar de perto as atividades de uma máquina pode expor possíveis problemas de segurança. Combinar informações de segurança e gerenciamento de eventos (SIEM) com análise de comportamento de usuário e entidade (UEBA) pode trazer vários usuários e dispositivos pertencentes a uma empresa sob vigilância. A UEBA utiliza o aprendizado de máquina para identificar anomalias nas atividades dos usuários e depois apresentá-las aos administradores de rede para executar ações corretivas antes que elas se tornem desastrosas.

É um dia agitado no hospital. Enquanto vários pacientes aguardam sua vez no balcão de registro, os computadores do hospital congelam um por um, exibindo uma nota de resgate que exige bitcoins. Nesse cenário, não apenas as operações da clínica, mas centenas de vidas poderiam estar em risco. Este é um exemplo de ransomware de bloqueio, que torna a interface do usuário de qualquer dispositivo infectado inacessível. 

Os ataques de ransomware envolvem vários estágios: distribuição, infecção, teste, verificação, criptografia e pagamento. O UEBA pode detectar acessos a arquivos excessivos ou a execução de arquivos não nativos e, em seguida, aumentar a pontuação de risco da entidade correspondente. Isso avisa o pessoal de segurança para tomar medidas preventivas e eliminar o ataque em sua fase inicial.

Os ataques de força bruta visam principalmente organizações com enormes reservas de dados críticos, em que as contas de usuários provavelmente têm senhas fracas. Instituições de ensino superior e departamentos governamentais são mais propensos a serem vítimas. Além de interromper as funções da organização, os invasores podem filtrar arquivos de pesquisa e comprometer bancos de dados confidenciais. O UEBA pode identificar quando um usuário efetua login após várias tentativas de login com falha ou quando uma tentativa de acesso ao servidor é feita a partir de um local remoto em vez de acesso regular do escritório. Ambas as ações aumentam a pontuação de risco e servem como um indicador de uma ameaça potencial, ajudando a prevenir um ataque antes do início real.

Não é segredo que os detalhes do cartão de crédito de milhões de pessoas estão disponíveis na web escura. Os ataques internos são extremamente bem-sucedidos e difíceis de detectar, pois o usuário já tem permissões para acessar dados críticos. Muitas empresas não têm informações de que foram roubadas até que sejam usadas para executar ataques ilícitos. 

Com várias regulamentações de conformidade de proteção de dados em vigor, esses ataques não apenas mancham a reputação da organização envolvida, mas também podem colocá-los em problemas legais. O UEBA pode ser um salvador nesses cenários identificando anomalias de padrão, como um funcionário imprimindo um arquivo, enquanto o comportamento esperado é apenas adicionar ou excluir entradas nesse arquivo ou banco de dados específico.

A informação é um recurso valioso no mundo de hoje. Todas as organizações que possuem dados valiosos estão sob constante ameaça de exposição. O UEBA é um watchdog ideal que aprende continuamente com as ações do usuário e indica possíveis ameaças.

Manter-se vigilante com a UEBA pode evitar que você chegue à lista de “empresas mais atingidas por ataques cibernéticos”.  Inicie sua avaliação gratuita por 30 dias e proteja seus dados com o Data Security Plus:

Deixe um comentário

Blog ACSoftware - ManageEngine