[Dica de TI] UEBA pode salvar organizações que adotaram o trabalho remoto

Em março de 2020 oficialmente, o mundo mudou! Empresas em todo o globo precisaram mudar seus hábitos e se adequar por causa da pandemia da COVID-19. A transição para Home Office trouxe consigo vários desafios. Com frequência vimos empresas de médio e pequeno porte tendo dificuldade para se adequar, principalmente na hora de criar uma infraestrutura segura para o trabalho remoto. O Home Office surgiu nos Estados Unidos, quando tecnologias como o computador, a internet e o celular foram popularizadas. Isso possibilitou que qualquer um tivesse sua própria estação de trabalho na sua casa, isso ainda na década de 90, tendo um grande avanço a partir dos anos 2000.

Essas mudanças bruscas na modalidade de trabalho, forçando os trabalhadores ao trabalho remoto mostrou um grande aumento nos ataques cibernéticos, pois pessoas mal intencionadas aproveitaram das novas vulnerabilidades na segurança da TI que surgiram nas organizações. Mas isso não significa que as soluções de segurança que temos no atual mercado deixem a desejar, na realidade o que ocorre é falta de uma análise minuciosa na forma que as utilizamos. Recentemente tivemos um grande aumento no número de ataques phishing, utilizando iscas digitais para enviar ransomwares aos sistemas das empresas. O sucesso desse tipo de ataque evidencia como ainda não estávamos preparados para a modalidade remota.

Quando a cultura de trabalho de uma organização muda, isso leva a mudanças nos padrões de trabalho dos funcionários, que, em última análise, causa variações nos dados dos funcionários. Utilizando a cultura organizacional atenta às mudanças e novas vulnerabilidades de rede que constantemente surgem é possível defender a rede contra ameaças desconhecidas e incomuns de maneira eficiente. São exemplos de algumas medidas que podem ser tomadas para reforçar a sua rede:

I. Análise de comportamento na rede através de relatórios simplificados
II. Uso de inteligência artificial para aprender e monitorar comportamentos na rede
III. Usuário com acesso privilegiado e multinível

No trabalho remoto isso se torna mais complexo, justamente por ter todos pontos de acesso (computadores, celulares, tablets, equipamentos utilizados para acessar à rede) espalhados pela cidade, estado, país. Para algumas organizações observar de maneira manual o comportamento do usuário se torna inviável, mas existe uma alternativa para esse tipo de problema, o uso de uma solução UEBA pode ser a resposta. Ter uma solução do tipo UEBA pode ser peça fundamental para a infraestrutura de TI, entenda como.

UEBA usa aprendizado de máquina (ML) baseado em inteligência artificial para detectar ameaças internas, ataques direcionados e fraudes financeiras (do tipo que rastreiam os usuários de um sistema), indicando ameaças potenciais a partir da análise dos padrões de comportamento dos colaboradores da rede.

Soluções que utilizam o UEBA são capazes de rastrear as atividades de login dos funcionários, enquanto atribuem pontuações individuais de risco. Durante a adoção do trabalho remoto os padrões de login e comportamento dos colaboradores podem mudar drasticamente e a solução vai se adequar automaticamente a isso. Por exemplo, pode ser normal para uma usuário da rede fazer logon às 20:00 horas, mas seu horário no escritório ia das 10h às 18h. Isso se torna normal para o modelo de trabalho remoto, a ferramenta vai alegar ser um falso positivo para comportamento incomum, realizará análise se é ou não recorrente, se sempre se dá nesse mesmo horário e possíveis variáveis e após um período de tempo o evento não se acionará mais como “anomalia de horário” caso a IA identifique um padrão.

Por exemplo, para um colaborador que geralmente inicia sessão na rede 1 vez ao dia no trabalho presencial, durante a adequação ao trabalho remoto pode ser que ele tenha de iniciar de 2 a 4 vezes por dia, devido às novas circunstâncias de trabalho. Em soluções UEBA todo comportamento é analisado de maneira automatizada e qualquer atividade suspeita que seja identificada deverá acionar um alerta para possível anomalia, aumentando a pontuação de risco de comportamento do usuário.

A inteligência artificial nesse tipo de aplicação consegue identificar os padrões e tirar da zona de alerta determinados conjuntos de ações. Padrões que repetem diariamente, por exemplo, do mesmo usuário servirá de alimento e aprendizado para a solução. Isso serve como ajuda para que soluções no modelo UEBA forneçam um cenário automatizado e também com controle manual eficiente, auxiliando na tomada de decisões quanto se trata de aumentar as pontuações de risco e detecção de anomalias na rede.

No entanto, no caso de um ataque cibernético, como um ataque de phishing, uma conta de usuário específica que faça login de vários locais remotos às 3 da manhã seria considerado um comportamento incomum. Isso vai contra o comportamento habitual, podendo indicar um possível ataque cibernético. Isso acionará um padrão e tempo anomalia, causando um aumento no escore de risco. Dessa forma a solução poderá decidir o que será feito com tal tentativa de acesso.

É importante ter em sua rede uma uma solução SIEM abrangente com potencial de ajudar as empresas a impedir ataques, monitorar a segurança eventos e cumprir os protocolos de segurança de maneira eficiente. Que possua inteligência artificial capaz de aprender mais sobre cada comportamento do colaborador diariamente, permitindo que semana após semana a solução aprimore o ambiente da empresa e reforce a segurança contra comportamentos suspeitos. Assim é possível entender a diferença nos padrões de trabalho em comparação com a cultura de trabalho anterior. No atual cenário de trabalho remoto ter esse tipo de solução aliada à sua TI é essencial para garantir agilidade, automação e segurança à rede.

Entenda como o Log360 da ManageEngine pode estar lhe auxiliando no gerenciamento de logs do seu ambiente, a solução vem com um componente de gerenciamento de log que fornece melhor visibilidade da atividade da rede, módulo de gerenciamento de incidentes que ajuda a detectar rapidamente, analisar, priorizar e resolver incidentes de segurança, complemento de análise de comportamento de entidade e usuário orientado por ML que linha de base comportamentos normais do usuário e detecta atividades anômalas do usuário, plataforma de inteligência de ameaças que traz feeds dinâmicos de ameaças para monitoramento de segurança e ajudam as empresas a se manterem atualizadas sobre os ataques.

Clique no botão abaixo e faça o seu teste da solução gratuitamente contando com o apoio da equipe da ACSoftware durante todo o período de testes, confira

ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.

PodCafé da TI – Podcast, Tecnologia e Cafeína.

SpotifyApple PodcastsGoogle PodcastsDeezerYouTube

Deixe um comentário

Blog ACSoftware - ManageEngine