Como UBA e UEBA colocam em evidência ameaças ocultas

User Behavior Analytics (UBA) é uma tecnologia existente em algumas soluções de segurança da informação, como as da Varonis, e que analisam o comportamento do usuário em redes e em outros sistemas de computador. O UBA se concentra em quem, o quê, quando e onde a atividade do usuário: quais aplicativos foram iniciados, atividade de rede, quem acessou quais arquivos, etc.  

A análise de comportamento de usuário e entidade (UEBA) pode identificar comportamento malicioso realizado por dispositivos, aplicativos, redes, etc., além de humanos. As ferramentas UEBA também podem detectar ataques mais complexos em vários usuários, fontes, dispositivos de TI e endereços IP.  

Os recursos da UEBA são normalmente divididos em 3 categorias: 

1- A análise de dados usa dados sobre o comportamento “normal” de usuários e entidades para construir um perfil de como eles agem normalmente. Em outras palavras, ele estabelece uma base de comportamento padrão. Modelos estatísticos podem então ser aplicados para detectar comportamento incomum e alertar os administradores do sistema. 

2- Integração de dados significa que os sistemas UEBA são capazes de comparar dados de várias fontes – como logs, dados de captura de pacotes e outros conjuntos de dados – com os sistemas de segurança existentes. 

3- Apresentação de dados é o processo pelo qual os sistemas UEBA comunicam suas descobertas. Normalmente, isso é feito por meio de um sistema de alerta. Além disso, a maioria dos UEBA vem equipada com painéis para permitir o monitoramento em tempo real. 

As ferramentas UEBA e UBA automatizam os processos de detecção e validação de ameaças à segurança, permitindo que os analistas de segurança cibernética se concentrem em atividades de alto valor. Eles também podem ser usados ​​para identificar proativamente os pontos fracos e brechas de segurança, reduzindo a superfície de ataque. 

Fontes de dados

Como as soluções de gerenciamento de informações e eventos de segurança (SIEM) são normalmente mais focadas em dados de log e eventos, essas ferramentas são altamente complementares às soluções UBA. Na verdade, as ferramentas UBA costumam usar dados fornecidos por SIEMs.  

O SIEM encaminha eventos de log aplicáveis ​​ao UEBA para criação de perfil do usuário, enquanto a ferramenta UBA gera alertas que podem ser enviados para a ferramenta SIEM para aprimoramento dos eventos de outras fontes, por sua vez apresentando o alerta a um analista de segurança para triagem. 

Outras ferramentas que podem servir como fontes de dados para a UEBA são data warehouses, data lakes, gerenciamento avançado de ameaças, plataformas de RH e sistemas de gerenciamento de relacionamento com o cliente (CRM). 

Na medida em que os ataques cibernéticos aumentam em frequência e complexidade, as soluções UBA se tornam cada vez mais necessárias. Analistas preveem, inclusive, que as ferramentas UBA vão se integrar com a infraestrutura de TI de forma mais direta. Firewalls, bancos de dados e outros aplicativos poderão ser configurados para receber e responder automaticamente os alertas UBA.  

Um firewall, por exemplo, ao ser notificado de uma ameaça, criaria regras de tráfego imediatamente e desligaria conexões invasivas sem intervenção humana. Na verdade, qualquer aplicativo associado a esse usuário (ou seja, e-mail, bancos de dados, CRM, etc.) eliminaria automaticamente o acesso imediatamente.  

Os dados do UBA também podem ser usados ​​para analisar mais do que apenas a segurança cibernética. No futuro, é possível que algumas organizações tentem extrair dados do UBA para tentar entender e otimizar o desempenho dos funcionários. 

Quer conhecer mais sobre a tecnologia UBA? Conheça as soluções da Varonis para UBA.