O dicionário de Collin define “padrão de comportamento” como uma forma recorrente de agir por um indivíduo ou grupo em relação a um determinado objeto ou em uma determinada situação. A análise e a compreensão dos padrões de comportamento dos indivíduos provou fornecer soluções aprofundadas para problemas em diferentes esferas da vida, incluindo a segurança cibernética.
Quando se trata de organizações que lutam contra ameaças cibernéticas, as soluções de segurança tradicionais baseadas em regras não podem fornecer visibilidade de ataques cibernéticos cada vez mais sofisticados. Vemos esse padrão em violações bem-sucedidas que ocorrem diariamente. Além disso, no processo de detecção e remediação rápidas de ameaças à segurança, as ferramentas de segurança tradicionais tendem a sobrecarregar os analistas de segurança com alertas sem contexto.
É aqui que a análise de comportamento de usuário e entidade (UEBA) oferece uma solução mais eficiente. Uma solução UEBA orquestra análises avançadas por meio de enriquecimento de dados, ciência de dados e aprendizado de máquina para combater ameaças avançadas. Por meio desse processo, a UEBA produz um menor volume de alertas mais precisos e reduz o número de falsos positivos. Incorporar análises de comportamento em sua solução SIEM ajuda a lidar com o cenário de ameaças de segurança anormais e avançadas, juntamente com a detecção de ameaças tradicional baseada em regras.
Vejamos alguns casos de uso em que a análise do comportamento desempenha um papel significativo na detecção de ataques.
Diferenciando comportamentos normais e maliciosos
Não é segredo que as ameaças internas são uma das muitas fontes de perda de dados confidenciais. Aqui, o agente da ameaça é um insider mal-intencionado ou comprometido. Detectar ameaças internas pode ser desafiador, pois a maioria das ferramentas de segurança não consegue diferenciar um usuário legítimo de um ator de ameaça potencial.
Nesse caso, uma solução UEBA detecta usuários executando atividades suspeitas que estão fora de sua linha de base normal. A análise do comportamento leva em consideração o histórico de um usuário específico e detecta atividades anormais como:
-
Logins em horas incomuns, em frequências incomuns, de locais incomuns e acessando dados ou sistemas incomuns, como servidores SQL
-
Mudanças de escalonamento de privilégios para sistemas críticos
-
Acesso não autorizado a contas de usuário
- A exfiltração de dados tenta correlacionar eventos aparentemente não relacionados, como fazer login em um momento incomum, acessar um banco de dados do servidor SQL e inserir uma unidade USB
Detectando ativos comprometidos com rapidez e precisão
Quando se trata de ataques cibernéticos, alguns dos ativos inicialmente visados incluem sistemas, hosts, contas ou dispositivos. Agentes de ameaças mal-intencionados podem operar sem serem detectados na rede da sua organização por semanas ou até meses. Usando a análise de comportamento, a detecção de ameaças à segurança, como dispositivos comprometidos, torna-se mais fácil, mais precisa e muito mais rápida.
Nesse caso, a solução UEBA detecta atividades anômalas monitorando o comportamento das entidades em sua organização. A solução monitora:
-
Contas de usuário privilegiadas para comprometimento
-
Servidores para atividades que se desviam da linha de base normal
- Comportamento anômalo em tempo real, como aumento do tráfego em dispositivos de rede, incluindo dispositivos Windows, roteadores e firewalls
Detectando tentativas de exfiltração de dados
A exfiltração de dados ocorre quando dados confidenciais são transferidos para fora da organização sem autorização. Isso pode acontecer quando um usuário mal-intencionado transfere dados copiando o conteúdo para um dispositivo físico ou pela Internet. Também pode ocorrer por meio de infecções por malware nos sistemas da sua organização.
Nesse caso, a solução UEBA monitora dispositivos de rede, detecta e fornece alertas em tempo real para eventos suspeitos, com
-
Instalações incomuns de software em dispositivos específicos
-
Downloads incomuns ou acesso a dados confidenciais
-
Quantidades incomuns de tráfego de rede que podem ser uma indicação de grande transferência de dados, contradizendo a linha de base normal do usuário ou da máquina que está transferindo os dados
Como os ataques de hoje se tornam cada vez mais sofisticados e as ameaças à segurança emanam tanto de fora quanto de dentro da rede, sua organização precisa de uma solução de segurança que seja especializada em detectar e mitigar ameaças incomuns. Uma solução UEBA pode se adaptar ao ambiente de sua organização rapidamente, aprendendo e analisando o comportamento de seus usuários e entidades, e alertá-lo sobre atividades anômalas que se desviam da norma. Ele também ajuda você a se preparar para ameaças incomuns de usuários internos e externos mal-intencionados.
Se você estiver interessado em aprender mais sobre análise de comportamento e aprendizado de máquina no SIEM, junte-se a nós nesta série de webinar de dois dias em que mergulharemos profundamente no mundo do aprendizado de máquina e exploraremos alguns exemplos reais de mitigação de ameaças cibernéticas, como comprometimento de conta, insider ameaças, violações de dados e muito mais. Saiba como você pode usar essa tendência de segurança cibernética mais recente para fortalecer suas defesas.
Nota : Esse conteúdo foi traduzido do nosso site em inglês e está replicado nos sites dos nossos parceiros também.