Faz parte da segurança da informação prever possíveis falhas em sistemas e brechas que permitam invasões. Mas apenas isso não basta, é preciso entender e prever o comportamento do usuário (UBA) para evitar ataques.
As ameaças evoluem a cada dia e expõem empresas de todos os setores e tamanhos, e essas ameaças também estão ficando mais inteligentes, particularmente aquelas que podem afetar dispositivos ligados à Internet das Coisas, que, muitas vezes, sequer são testados em relação à possíveis falhas e brechas de segurança.
E se não bastassem esses problemas com a prevenção, muitas empresas também falham na hora de responder aos incidentes. Com o número maior de ameaças, o número de ferramentas de segurança também cresceu, mas isso tem um lado negativo: sobrecarrega o trabalho dos analistas de segurança que passam a trabalhar entre diversas plataformas que não conversam entre si, o que os obriga a coletar dados de forma manual para coloca-los em outra solução que pode analisá-los.
Para atrapalhar, os incidentes são eventos dinâmicos e apenas com um gerenciamento mais completo as empresas retomam o controle da situação e solucionam as deficiências da área de segurança cibernética.
Como funciona a UBA?
A UBA coleta dados, incluindo dados de acesso, contas, permissões, atividade do usuário, localização e alertas de segurança e passa a analisa-los de acordo com fatores como recursos utilizados, duração das sessões, conectividade e atividade, comparando os resultados até encontrar um comportamento inadequado.
Não relatam todas as anomalias como arriscadas, mas avaliam o impacto de determinado comportamento. Se envolve recursos menos sensíveis, recebe uma baixa pontuação de impacto, caso contrário, a pontuação é maior e as equipes de segurança são informadas para agir.
Com o machine learning, as ferramentas UBA reduzem os falsos positivos e passam a fornecer informações relevantes sobre possíveis riscos, permitindo às equipes de segurança que possam agir de maneira mais assertiva.
Informações estratégicas
Ter acesso a informações de incidentes podem ser úteis na hora de prevê-los. Essas informações podem incluir tendências e estatísticas sobre incidentes, correlação entre incidentes diferentes, os custos envolvidos, que podem ser usadas para prever e evitar ameaças.
À medida que que a análise do comportamento do usuário (UBA) evolui, mais rápida é a resposta das equipes de TI. Essa análise envolve modelagem estatística, machine learning e ciência de dados para identificar padrões de comportamento e compara-los com outras atividades, sejam humanas ou de máquinas.
As ferramentas SIEM podem ser extremamente úteis na análise desses dados, já que agregam informações vindas de diversos sistemas e analisam esses dados para detectar comportamentos anormais.
O Gartner considera as ferramentas SIEM para três recursos:
– Monitoramento básico de segurança
– Detecção avançada de ameaças
– Análise forense e de incidentes
As ferramentas SIEM também agregam dados que podem ser utilizados em projetos de gerenciamento de capacidade, possibilitando o acompanhamento do crescimento da largura de banda e dos dados ao longo do tempo para ajudar a planejar o crescimento e o orçamento da TI.
A solução Varonis DatAlert dispara alertas em tempo real por intermédio de múltiplas plataformas, ajudando a detectar uma potencial violação de segurança, configurações mal feitas e outros problemas.