Por que os fatores de sazonalidade são importantes para a detecção de anomalias na segurança cibernética

Fatores de sazonalidade precisam ser considerados ao tentar detectar anomalias de comportamento de usuários e hosts em uma rede. Mas antes de entrarmos nesse assunto, vamos primeiro tentar entender o que é sazonalidade, observando alguns exemplos da vida cotidiana:1. Sazonalidade nas vendas de produtos: Vários produtos, como chocolates, roupas de verão, equipamentos de ginástica e fantasias de Carnaval pertencem a mercados sazonais. A demanda por esses produtos geralmente atinge o pico por alguns dias ou meses e depois diminui. Dependendo do mercado, as vendas atribuídas à sazonalidade podem variar. Por exemplo, as vendas de roupas de inverno durante os meses de inverno podem ofuscar as vendas durante o resto do ano.2. Sazonalidade no consumo de água: Este é um exemplo fácil de entender - as pessoas costumam consumir muito mais água durante os meses de verão.3. Sazonalidade no mercado de ações:Historicamente, as ações tiveram desempenho inferior entre os meses de maio e outubro, mas tiveram bom desempenho de novembro a abril. Há um ditado popular que diz: "Sell in May and go away" (venda em maio e vá embora).

Mas existem exemplos de sazonalidade quando se trata da rede de computadores de uma organização? Sim!

Na rede de uma organização, usuários e hosts podem apresentar comportamentos sazonais, como:

  • Um servidor de banco de dados que é muito consultado na segunda-feira toda semana.

  • Um usuário que trabalha em sábados alternados.
  • Um usuário que acessa um determinado servidor de arquivos apenas uma vez por mês, principalmente no último dia útil do mês.

Os três exemplos acima envolvem ocorrências relativamente raras que são de natureza sazonal, mas não são anomalias.

Uma anomalia, por definição, é algo que se desvia do esperado.Essas três atividades (e outras semelhantes), embora raras, não são anomalias porque começam a ser aceitas como normais depois de ocorrerem algumas vezes. São, portanto, atividades normais que seguem uma tendência sazonal.
Detecção de anomalias em segurança cibernética 
É importante que as organizações detectem quaisquer anomalias que acontecem na rede, a fim de evitar possíveis ataques cibernéticos. Para fazer isso, as organizações normalmente usam uma solução de análise de segurança ou uma solução SIEM que possui recursos de detecção de anomalias alimentados por algoritmos de aprendizado de máquina. Essa solução cria uma linha de base do comportamento esperado para cada usuário e host na rede. Se o comportamento observado de um usuário ou host se desviar além de um limite aprendido, ele será sinalizado como uma anomalia e a pontuação de risco será aumentada de acordo.
Detecção de anomalias com a capacidade de identificar a sazonalidade 
Os algoritmos de aprendizado de máquina usados para detectar anomalias devem ser capazes de levar em conta a sazonalidade. Eles devem entender os efeitos sazonais no comportamento de usuários e hosts e ser capazes de identificar uma atividade específica como não anômala, mesmo que seja rara. Depois de contabilizar a sazonalidade, não devem ser identificados sinais de alerta e as pontuações de risco não devem ser levantadas. Então, e se a atividade ocorrer fora dessa janela sazonal? Isso seria uma anomalia, como ilustra o caso de uso abaixo.
Um estudo de caso de sazonalidade 

Seu banco opera no primeiro e terceiro sábado de cada mês. No segundo sábado do mês, sua plataforma de análise de segurança percebe um funcionário fazendo login na rede. Um sistema menos treinado aceitaria isso; afinal, o funcionário estava online no sábado anterior, então por que não hoje? Mas o seu é bem treinado para detectar anomalias sazonais como esta. Ele sabe a diferença entre os vários sábados de um mês. Um alarme dispara e a pontuação de risco do funcionário aumenta.

Os fatores de sazonalidade são críticos para calcular o risco real representado por usuários e hosts em sua rede. Sem considerar a sazonalidade, há chances de pontos cegos e falsos negativos. O mecanismo de detecção de anomalias em sua solução SIEM deve usar esse recurso para mostrar uma imagem mais precisa do que está acontecendo.Quer saber mais sobre as melhores soluções SIEM para as questões de TI da sua empresa? Visite nosso site e conheça nossos softwares.Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Ram Vaidyanathan.