No mundo da segurança cibernética, prever possíveis ataques pode representar uma economia de milhões de reais. A tecnologia UBA procura padrões de uso que indiquem comportamento incomum ou anormal – não importando se é proveniente de um hacker, um funcionário, malware ou algum processo interno da empresa. A UBA não impende invasões, mas pode identificar rapidamente se há uma invasão e minimizar os problemas.
Esse trabalho é importante por, também, detectar se um funcionário está fazendo algo anormal com seu acesso aos dados. Esses “insiders”, muitas vezes, são contratados por hackers para roubar dados sigilosos das empresas e entregar para um cibercriminoso para venda na darkweb.
O UBA foca a análise no usuário, em contas de usuários, identidade de usuários e não em endereços IP ou Hosts. Não visa criar alertas em relação ao comportamento de usuários legítimos, mas de comportamentos anormais que podem ser internos ou externos.
Como detectar e reduzir o risco
Ao monitorar atividades suspeitas, o UBA consegue se manter entre as tendências tecnológicas para evitar invasões, algo parecido com o que o SIEM também conseguiu durante os anos.
Diferente do SIEM, o UBA não apenas agrega e correlaciona alertas de eventos da rede, mas pode combinar análises vindas da inteligência artificial e abordagens analíticas para estabelecer as bases de como sistemas, redes e dispositivos se comportam normalmente para, em seguida, detectar anomalias nesse comportamento e enviar alertas para a equipe de segurança.
Mas há algumas fraquezas que foram divulgadas por analisas da Gartner, Forrester Research e pelo ESG:
– Alguns eventos não são detectados porque não têm conexão com eventos passados
– Abordagens baseadas em IA também detectam outras anomalias que não têm ligação com possíveis ataques
– Falta material humano para executar um sistema UBA adequadamente
– Os dados garimpados podem não ser suficientes para encontrar ameaças, exigindo das empresas contextos adicionais de dados que não sejam de TI, como arquivos pessoais, dados de RH, etc.
Essas consultorias acreditam que a UBA, ou outros sistemas de análise, podem substituir analistas humanos e também acreditam que uma integração entre o SIEM e sistemas UBA são mais eficientes
O que a Varonis pode fazer pela sua empresa?
A Varonis captura informações de como os usuários interagem com os dados e com os sistemas de forma mais completa que outras soluções no mercado.
A Análise do Comportamento do Usuário (UBA) ou Análise do Comportamento do Usuário e da Entidade (UEBA) focam nestas interações e estabelecem uma base sobre o comportamento considerado padrão, ou normal, permitindo que qualquer ponto fora disso, seja considerado suspeito.
Nossa solução DatAlert Analytics analisa e detecta atividade suspeita e previne o vazamento de dados, utilizando análise profunda de metadados, aprendizagem automática e UBA avançada.
Com o DatAlert Analytics é possível:
– Encontrar coisas que não pertencem ao ambiente, como ferramentas de exploração, ransomware, intrusão crypto, etc.
– Monitorar a atividade suspeita, acessos incomuns, comportamento anormal e atividades anormais em arquivos
– Rastrear tentativas de danos na infraestrutura do sistema
– Analisar alterações de políticas, escalação de associação e modificações em contas
– Obter a ajuda de especialistas e cientistas em segurança de dados.