Os ataques cibernéticos são uma ameaça crescente, com mais uma tentativa de invasão a cada 39 segundos. O Identity Theft Resource Center (ITRC) relatou um aumento de 17% nas violações de dados em 30 de setembro de 2021 em comparação com o número total de violações em 2020. E esses foram apenas os casos relatados! Há uma grande falta de transparência em relação aos avisos de violação tanto no nível governamental quanto organizacional, de acordo com o ITRC.
Além disso, a sofisticação dos ataques também está aumentando. Os cibercriminosos estão desenvolvendo novas técnicas de ataque e evoluindo as mais antigas. De fato, de acordo com um relatório da Verizon, os ataques de phishing aumentaram 11% e os incidentes de ransomware dobraram desde 2020.
No entanto, o aspecto mais preocupante é que não são apenas os ataques externos que as organizações precisam se preocupar; os ataques cibernéticos de ameaças internas estão aumentando dia a dia. Várias fontes sugerem que:
-
Globalmente, mais de 34% das empresas enfrentam ameaças internas anualmente.
-
Os incidentes internos aumentaram 47% entre 2018 e 2020, dos quais as ameaças internas maliciosas representaram 14%.
- Mais de 50% das empresas têm dificuldade em detectar ameaças internas e os danos causados por elas.
Como se enfrentar essas ameaças não fosse difícil o suficiente, as organizações que não possuem uma solução de segurança cibernética adequada consideram oneroso detectar e investigar essas ameaças, e as condições de trabalho híbridas devido à pandemia não facilitam as coisas. De fato, o relatório de violação de dados de 2021 da IBM afirma que, em 2021, o tempo médio para identificar um ataque foi de 212 dias e o tempo médio para conter o ataque foi de 75 dias.
Então, agora surge a pergunta: “Se as ameaças internas são tão desenfreadas e prejudiciais, o que uma organização pode fazer para se identificar e se proteger contra elas?” Bem, a resposta é simples: as organizações precisam se equipar com uma solução de gerenciamento de eventos e informações de segurança (SIEM) integrada com recursos de análise de comportamento de usuários e entidades (UEBA).
Uma ferramenta SIEM é uma solução de segurança cibernética que coleta e agrega dados de log de várias fontes na rede da sua organização e analisa os dados de log para detectar vulnerabilidades e ameaças. Ele também oferece a vantagem adicional de alertá-lo sobre essas ameaças em tempo real. O SIEM faz isso usando regras de correlação predefinidas e personalizadas, alertas, fluxos de trabalho de resposta e feeds de inteligência de ameaças. Então, se uma solução SIEM é capaz de fazer tudo isso, por que você precisaria do UEBA? Porque, simplesmente, SIEM sem UEBA é como um cirurgião sem bisturis e suturas. Uma ferramenta SIEM sem UEBA não é uma solução abrangente para segurança de dados ou detecção de ameaças. Ou seja, uma solução SIEM com recursos UEBA ajuda a detectar, investigar e responder prontamente a ameaças à sua organização. Então, sem mais delongas, deixe-me explicar o que é a UEBA e como ela pode beneficiar sua organização.
UEBA
UEBA, do inglês User Entity and Behavior Analytics e também conhecido como detecção de anomalias, é um processo de segurança cibernética que monitora e analisa o comportamento de cada usuário e entidade, como roteadores, servidores e terminais na rede de uma organização, para detectar qualquer comportamento anormal. Com base em sua análise, a UEBA determina o padrão normal de trabalho e cria uma linha de base da atividade esperada para cada usuário e entidade. No entanto, para estabelecer essa linha de base comportamental, é preciso fornecer à UEBA pelo menos duas semanas de dados históricos.
Para estabelecer a linha de base, sua solução UEBA usará os dados de log agregados em sua ferramenta SIEM e empregará algoritmos de aprendizado de máquina (ML), que usam modelos estatísticos e de probabilidade, para aprender e identificar continuamente o comportamento normal de cada usuário e entidade. Portanto, você pode dizer que o recurso de ML do UEBA é responsável pela detecção de anomalias.
Cada ação atual é comparada com a linha de base comportamental gerada a partir de dados históricos, para identificar se a ação é normal ou uma anomalia. Dependendo da extensão do desvio, a UEBA atribui uma pontuação de risco adequada para indicar a gravidade do evento e alerta seus analistas de segurança para evitar o ataque ou interrompê-lo.
Detecção de anomalia
Para entender como a UEBA cria um perfil comportamental para cada usuário, vamos ver um exemplo e entender como os humanos fazem isso primeiro. Nosso exemplo é João, um estagiário de marketing recém-contratado. Em seu primeiro dia de trabalho, o segurança o reconhece como alguém novo e presta muita atenção para garantir que todas as suas credenciais sejam verificadas. O guarda também acompanha a hora em que João entra e sai da organização. Ele monitora a atividade de João por alguns dias e conhece seu padrão de tempo esperado – chegada às 10h e saída às 18h. Qualquer desvio disso, como a chegada de João às 5 da manhã, levantará a suspeita do guarda. É assim que os humanos detectam uma anomalia.
Da mesma forma, o algoritmo de ML em uma solução UEBA monitorará os dados de log para estabelecer padrões em sua rede. Por exemplo, os horários de logon e logoff de um usuário e as ações que o usuário executa em dispositivos específicos informarão à solução UEBA das atividades esperadas desse usuário. Depois de monitorar por alguns dias, a solução UEBA conhecerá o comportamento esperado do usuário; qualquer desvio disso, e a pontuação de risco do usuário aumentará para indicar a gravidade da ameaça, e a solução UEBA sinalizará um alerta para os analistas de segurança. “Mas se um humano já pode fazer isso, por que você precisa da UEBA?” Porque não é humanamente possível para sua equipe de segurança observar e analisar constantemente o comportamento dos milhares de funcionários que trabalham em sua organização; gerar relatórios sobre atividades anômalas em diferentes partes da rede; e tome as medidas apropriadas imediatamente.
Tipos de riscos
Agora surge a pergunta: quais são os diferentes tipos de ameaças que a UEBA pode identificar? Vamos dar uma olhada neles.
Ameaças internas: qualquer ameaça aos dados da organização apresentada por um indivíduo dentro da organização é conhecida como ameaça interna. Pode ser malicioso, quando o funcionário tenta deliberadamente roubar, modificar ou corromper os dados; ou pode ser não intencional, onde a conta do usuário foi usada para roubar informações confidenciais da empresa. Alguns indicadores comuns de ameaças internas incluem um sistema ou arquivo novo ou incomum acessado em um horário incomum ou várias falhas de autenticação.
Comprometimento da conta: Quando a conta de um usuário específico é acessada por um usuário não autorizado, isso é denominado comprometimento da conta. Isso pode ocorrer quando a senha de um usuário é fraca ou quando um invasor usa ferramentas sofisticadas para decifrar a senha do usuário. Falhas de login contínuas seguidas por downloads e instalação de software desconhecido são um sinal de comprometimento da conta.
Logons suspeitos: Qualquer ataque, independentemente de sua origem ser interna ou externa, precisará ter um logon bem-sucedido em algum momento. No caso de uma ameaça externa, um logon bem-sucedido provavelmente será precedido por várias falhas de logon. Então, você poderia dizer que um logon anômalo é o primeiro sinal de um ataque. Você precisa observar que sua solução UEBA deve ser capaz de alertar sobre sucessos de logon anômalos, bem como falhas, para entender o quadro geral. Por exemplo, um logon bem-sucedido após várias tentativas de logon com falha pode ser indicativo de um ataque de força bruta. Um sucesso de logon anormal em um servidor ou banco de dados também é uma anomalia, que pode significar uma ameaça ou ataque iminente.
Exfiltração de dados: se um indivíduo está fazendo uma transferência não autorizada de dados para qualquer usuário ou entidade fora da organização, isso é chamado de exfiltração de dados. É um sinal claro de um ataque e, portanto, a pontuação de risco do usuário aumenta exponencialmente. Portanto, sua solução UEBA atribuirá uma pontuação de alto risco e alertará os analistas para que tomem medidas imediatas para evitar um vazamento de dados. Alguns sinais de exfiltração de dados são um número incomum de downloads de arquivos ou transferência de dados por meio de dispositivos USB removíveis.
Em todos os casos acima, independentemente de o usuário ou funcionário atacar o sistema ou a rede, ou se o invasor usar as credenciais desse funcionário para atacar, a pontuação de risco desse usuário aumentará. O aumento na pontuação de risco é como sua solução UEBA alertará o analista sobre uma anomalia. O analista irá então investigar a autenticidade do evento e agir de acordo.
Pontuação de risco
Agora, você deve estar se perguntando: “O que é uma pontuação de risco e com que base a UEBA a atribui de qualquer maneira?” Uma pontuação de risco é um valor entre 0 e 100 que é atribuído a cada usuário e entidade dependendo da frequência e gravidade dos desvios da linha de base estabelecida. Quanto maior o desvio, maior o risco. Os desvios ou anomalias podem ser uma anomalia de tempo, anomalia de contagem ou anomalia de padrão. Vamos dar uma olhada no que cada um deles significa.
Anomalia de tempo: Se um usuário ou entidade se desviar da linha de base esperada, isso é denominado anomalia de tempo. Você pode usar o login de John às 5h em vez das 10h habituais como um exemplo de anomalia de horário.
Anomalia de contagem: se um usuário ou entidade realizar um número anormal de atividades em um curto espaço de tempo, chamamos isso de anomalia de contagem. Um exemplo seria um usuário acessando um banco de dados com dados de clientes 50 vezes em uma hora.
Anomalia de padrão: Se uma sequência inesperada de eventos resultar em uma conta de usuário ou entidade sendo acessada de maneira atípica ou não autorizada, ela é chamada de anomalia de padrão. Por exemplo, uma conta de usuário com um logon bem-sucedido após oito falhas de logon consecutivas, seguidas por várias exclusões de arquivos, modificações e transferências de dados feitas dessa conta, é um exemplo de anomalia de padrão.
Casos de uso
Agora que você sabe como a UEBA funciona, vamos dar uma olhada em alguns cenários em que uma solução UEBA pode fazer muita diferença para uma organização.
Dylan é um graduado da faculdade que foi recentemente contratado pela Drug Enforcement Administration (DEA). Ele está ansioso para provar a si mesmo para seus supervisores. Assim, ao receber um e-mail com um documento em anexo, alegando conter uma dica sobre uma possível venda de drogas, ele o abre imediatamente, sem saber que se trata de um ataque de spear phishing. Enquanto ele se propõe a investigar o endereço mencionado no documento, o malware embutido no documento baixa e, sem que ele saiba, começa a executar comandos para acessar o banco de dados contendo os nomes dos agentes disfarçados da DEA; detalhes de informantes confidenciais; a localização dos esconderijos, bem como as drogas e dinheiro confiscados durante as batidas; e muito mais.
Cenário 1: O DEA não tem uma solução UEBA
Dylan não é o único em apuros. As informações sobre os agentes infiltrados e os informantes confidenciais caem nas mãos de um cartel de drogas, ameaçando a vida dos agentes e dos informantes.
Cenário 2: A DEA tem uma solução UEBA
A solução UEBA identifica a série de atividades incomuns como uma anomalia de padrão, aumenta a pontuação de risco de Dylan e alerta os analistas de segurança imediatamente para que eles possam mitigar a ameaça.
Ron é enfermeiro no Grace Hospital. Ao tentar verificar os registros do banco de sangue do hospital, ele recebe um alerta dizendo que seu sistema está infectado com um vírus e que ele deve clicar em um link para resolvê-lo. Em sua urgência, Ron clica no link sem entrar em contato com o administrador do sistema para verificá-lo. Ele é direcionado para um URL diferente do qual uma carga de ransomware é baixada.
Cenário 1: Grace Hospital não possui uma solução UEBA
Os invasores obtêm acesso à rede, visam sistemas com senhas fracas, movem-se lateralmente, criptografam arquivos e exigem um grande resgate, efetivamente parando todo o hospital. A menos que o resgate seja pago, o equipamento de diagnóstico e os dispositivos cirúrgicos não funcionarão, e os médicos não poderão acessar o histórico médico de seus pacientes ou fazer planos de tratamento apropriados.
Cenário 2: Grace Hospital tem uma solução UEBA
O ataque de ransomware é evitado porque a solução UEBA identifica as renomeações de arquivos, acessos a arquivos e a execução de processos incomuns e alerta os analistas sobre a violação nos sistemas do hospital para que possam colocar em quarentena os sistemas afetados e mitigar efetivamente o ataque.
ManageEngine Log360
Agora que você sabe que precisa de uma solução SIEM com UEBA, deve estar se perguntando qual escolher. A ManageEngine Log360 é uma resposta abrangente para proteger sua organização contra ataques cibernéticos. O Log360 é uma solução SIEM que possui um mecanismo de correlação, inteligência de ameaças e funcionalidade UEBA para analisar dados e detectar ameaças e vulnerabilidades à sua organização. Ele também tem o benefício adicional de orquestração, automação e resposta de segurança (SOAR), que permite detecção de ameaças mais rápida e resposta automatizada a incidentes. Os outros benefícios são:
-
Identificação e prevenção de ameaças internas.
-
Identificação do comprometimento da conta do usuário.
-
Identificação e mitigação de exfiltração de dados e prevenção de perda de dados.
-
Análise de entidade.
-
Uso de ML não supervisionado – funções independentes da intervenção humana.
-
Pontuação de risco precisa.
-
Monitoramento e alertas em tempo real.
-
Alertas de risco personalizados.
-
Redução de falsos positivos.
-
Gestão de segurança holística.
Portanto, antes que as coisas fiquem complicadas, proteja sua organização com o Log360 e garanta sua proteção rápida e eficiente contra ataques cibernéticos.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Hiranmayi Krishnan.