Nos últimos 10 anos, os centros de operações de segurança e os analistas têm negociado indicadores de compromisso, assinaturas ou sinais de invasão ou de tentativas, para tentar acompanhar o ambiente de ameaças em constante mudança. Tem sido uma batalha perdida.
Ao mesmo tempo, os cibercriminosos se tornam cada vez mais eficazes em esconder seus rastros. Uma técnica de camuflagem conhecida como esteganografia, tornou a prática de detecção tradicional e medidas de detecção baseadas em limiar praticamente inúteis.
Em resposta, a indústria de segurança tem visto uma nova demanda de análise de comportamento do usuário (UBA), que procura padrões de atividade e desvios matematicamente significativos de comportamentos de usuários (uso de aplicativos, atividades de pesquisa de arquivos), a partir de linhas de base históricas.
Conheça o histórico comportamental dos usuários
Você conhece aquele ditado “se você não conhece o passado, será condenado a repeti-lo”? Isso se aplica a uma abordagem puramente baseada em SIEM que está procurando eventos atuais: arquivos excluídos ou copiados, logins com falhas, assinaturas de malware ou solicitações de conexão excessivas de um endereço IP.
Claro, você precisa analisar os eventos brutos, mas sem contexto, as estatísticas e os instantâneos baseados em SIEM são um sinal não confiável do que realmente está acontecendo. Chamamos isso de “falso positivo”, quando um sistema SIEM parece indicar um alerta quando não há um. Em algum momento, você acaba perseguindo continuamente as mesmas pistas falsas, ou, pior ainda, ignorando todas elas.
A partir de qual volume de arquivos sendo excluídos ou copiados deve ser gerado um alerta? Quantas falhas de login são incomuns para esse usuário específico? Quando se torna suspeito um usuário visitar uma pasta raramente acessada?
A decisão chave que deve ser feita para qualquer notificação de evento é o limiar certo para separar o normal de anormal.
Muitas vezes há dezenas, senão centenas, ou milhares de aplicativos e acessos de usuários, cada um com um propósito exclusivo e conjunto de limiares, assinaturas e alertas para configurar e monitorar. Uma abordagem de força bruta resulta em regras sem base em dados passados, mas em configurações em ad hoc, que geram relatórios intermináveis e intermitentes que requerem uma equipe de pessoas para filtrar a “notícia falsa”.
Este dilema sobre como estabelecer um limite levou os pesquisadores de segurança a uma abordagem estatística, onde os limiares são baseados em uma análise de comportamentos de usuários do mundo real.
A principal diferença entre UBA e técnicas de monitoramento que dependem de limiares estáticos é que a decisão de desencadear é, em vez disso, guiada por modelos matemáticos e análise estatística que é capaz de detectar anomalias verdadeiras, reduzindo em última análise os falsos positivos. Alguns exemplos de alertas comportamentais:
Alerta quando um usuário copia arquivos do diretório inicial de outros usuários e, em seguida, move esses arquivos para um USB.