Há uma ótima cena no filme “Contato”, de 1997, onde a protagonista Dra. Eleanor Arroway, interpretada por Jodie Foster, é informada de que o financiamento de seu laboratório acaba de ser revogado. O parceiro de laboratório de Arroway explica que o governo perdeu a fé no projeto, preocupado com a possibilidade de ela envolver-se em atividades questionáveis, como assistir estática na TV por horas. A isso, ela responde com raiva: “Eu estava procurando padrões no caos, vamos lá!”.
Essa é uma ótima analogia para o que o User and Entity Behavior Analytics (UEBA) faz automaticamente para que você não precise fazer. Embora Arroway possa estar procurando por sinais de vida em diferentes planetas, detectar padrões anormais ou maliciosos no comportamento de usuários e entidades, a olho nu, pode ser tão difícil quanto.
Em qualquer dia, seus funcionários farão login em aplicativos locais ou em nuvem, baixarão e carregarão arquivos e responderão a solicitações de autenticação. O rastreamento desses comportamentos pode consumir muitos dados, especialmente ao considerar a diversidade de dispositivos e aplicativos que seus funcionários usam para se manter produtivos, a localização e os horários em que normalmente interagem com os aplicativos.
É aí que entra o UEBA. Em vez de confiar em verificações de segurança estáticas ou olhar continuamente para a estática, você pode utilizar segurança automatizada para observar os comportamentos do usuário para detectar ameaças internas e externas, evitar vazamento de dados ou ataques ransomware.
Como funciona a UEBA
Simplificando, a UEBA é um processo de segurança cibernética que monitora o comportamento regular do usuário e sinaliza desvio dos padrões estabelecidos. Embora um criminoso possa facilmente roubar o nome de usuário e a senha de um funcionário, é muito mais difícil imitar o comportamento usual dessa pessoa na rede conectada a aplicativos e dados. A UEBA também ajuda a detectar ameaças internas não intencionais ou intencionais, em que um usuário autorizado faz algo prejudicial à sua organização.
De várias formas, funciona como um software de detecção de fraude de cartão de crédito. Alguns anos atrás, me lembro de comprar uma esteira e precisar de um grande carro alugado para transportá-la para casa. Com meu cartão de crédito, paguei o aluguel e abasteci em um posto de gasolina antes de dirigir até a loja para pegar a esteira. Quando tentei comprar a máquina de exercícios, meu cartão de crédito foi listado e recebi um telefonema imediatamente do departamento de fraudes da Visa para confirmar que era realmente eu quem estava realizando a compra! O software de detecção de fraudes da Visa determinou com razão que essas compras são muito diferentes das minhas atividades normais.
De muitas maneiras, a UEBA é como um mecanismo de detecção de fraude de cartão de crédito. A UEBA usa aprendizado de máquina e análise de dados para determinar quando há um comportamento anômalo que pode resultar em uma possível ameaça à segurança. Por exemplo, se eu comumente baixar somente megabytes de arquivos diariamente, mas de repente baixar gigabytes de arquivos, um sistema UEBA detectaria essa anomalia e alertaria a equipe de segurança corporativa para averiguar.
As anomalias geográficas também são sinais indicatórios de comportamento anômalo ou malicioso: se alguém entrar em uma conta de trabalho de São Francisco, mas minutos depois um login de conta for constatado na República Tcheca, o sistema UEBA detectará automaticamente essa anomalia e habilitará uma resposta automatizada para proteger os dados disponíveis para a conta.
Lembro-me de um incidente com um de nossos clientes em que a UEBA acabou detectando e interrompendo um ataque de ransomware. Este cliente deu a seus parceiros acesso ao sistema de gerenciamento de conteúdo em nuvem Box. Com a UEBA instalada, sua equipe de segurança recebeu uma detecção automatizada de um grande volume de arquivos que foram excluídos e substituídos por arquivos criptografados. Que foram rapidamente carregados e renomeados. Devido à detecção precoce, a equipe de segurança conseguiu colocar a conta em quarentena e restaurar os arquivos.
UEBA vs. Gerenciamento de Informações e Eventos de Segurança (SIEM)
Os SIEMs permitem que as equipes de segurança agreguem grandes volumes de conjuntos de dados diferentes, alertas de segurança e eventos de várias fontes em um único console para processamento e analisar. Eles têm fluxos de trabalho e mecanismos de regras que fazem sentido a partir dos conjuntos de dados processados que permitem que os administradores priorizem e gerenciem da melhor forma os incidentes e alertas.
Com poderosas pesquisas, consultas, painéis e mecanismos baseados em regras, a maioria dos SIEMs oferece uma visão 360º dos sistemas corporativos e permite que os administradores gerenciem incidentes em tempo hábil. Em alguns casos, eles também identificam tendências e criam regras de correlação para acionar as etapas de mitigação apropriadas.
Embora à primeira vista, UEBA e SIEM pareçam fazer a mesma coisa, existem algumas diferenças importantes.
Ao contrário de um SIEM, a UEBA não rastreia eventos de segurança nem monitora dispositivos. Em vez disso, a UEBA rastreia o comportamento de usuários e entidades em seu ambiente — como dispositivos, aplicativos e dados — em busca de anomalias que possam indicar uma ameaça. Não obstante, a UEBA também analisa muitos dados, usando inteligência de máquina para automatizar e dimensionar sua análise de padrões em vez de confiar apenas na inteligência humana.
Por que você precisa de UEBA?
Em sua essência, a UEBA é construída para encontrar uma agulha no palheiro. Ela pode ser usada para analisar, modelar e prevenir ameaças em tempo real. Por exemplo, se um usuário estiver baixando uma grande quantidade de conteúdo confidencial do Office 365, causando várias violações de prevenção contra perda de dados (DLP), com base nessa inteligência, podemos cortar automaticamente o acesso a downloads adicionais e também cortar o acesso a outros aplicativos, como o Salesforce, para esse usuário específico. Esse nível de conscientização pode impedir qualquer tipo de roubo de dados em tempo real. Outro ótimo exemplo é que, quando um dispositivo comprometido está baixando grandes volumes de dados e começa a exceder os limites normais de comportamento do usuário, podemos cortar outros downloads. Ao contrário dos limites estáticos, estes são dinâmicos e se adaptam às atividades atuais do usuário.
O UEBA é capaz de rastrear ameaças internas e externas. O roubo de dados e IP por funcionários insatisfeitos ou ex-funcionários é um ótimo exemplo de ameaça interna. A UEBA é capaz de detectar as ameaças externas rastreando os comportamentos de contas invadidas, credenciais comprometidas e credenciais usadas no preenchimento de credencial. Todos esses são exemplos muito bons de técnicas usadas por agentes de ameaças externas para se infiltrar em sistemas corporativos.
A UEBA funciona melhor quando combinada com uma plataforma holística
Embora eu tenha usado este blog para descrever a UEBA e por que ela é importante, quero enfatizar que essa é apenas uma parte de uma arquitetura moderna de segurança cibernética. Há dois outros elementos importantes a serem considerados: monitorar continuamente a postura de risco dos dispositivos de endpoint e a sensibilidade dos aplicativos e dados acessados por usuários e endpoints.
Quer você perceba ou não, todos os seus funcionários estão usando algum tipo de dispositivo pessoal para trabalhar de qualquer lugar. Isso significa que você precisa acompanhar a conduta de risco dos dispositivos gerenciados e não gerenciados para proteger seus dados o tempo todo. Ao aplicar políticas baseadas no comportamento do usuário, no risco do endpoint e na sensibilidade dos dados, você protege seus dados sem prejudicar a produtividade.
