Blogs4

Entendendo a UEBA e seu papel na resposta a incidentes

Nota: O seguinte artigo irá ajudá-lo com: Entendendo a UEBA e seu papel na resposta a incidentes

As violações de segurança tornaram-se cada vez mais comuns no mundo digital. A UEBA ajuda as organizações a detectar e responder a esses incidentes.

User and Entity Behavior Analytics (UEBA) era anteriormente conhecido como User Behavior Analytics (UBA). É uma solução de segurança cibernética que usa análises para entender como os usuários (humanos) e entidades (dispositivos e servidores em rede) em uma organização normalmente se comportam para detectar e responder a atividades anômalas em tempo real.

A UEBA pode identificar e alertar analistas de segurança sobre variações arriscadas e comportamentos suspeitos que podem indicar:

  • Movimento lateral
  • Abuso de conta privilegiada
  • Escalonamento de privilégios
  • Compromisso de credencial ou
  • Ameaças internas

A UEBA também avalia o nível de ameaça e fornece uma pontuação de risco que pode ajudar a estabelecer uma resposta apropriada.

Continue lendo para saber como a UEBA funciona, por que as organizações estão migrando para a UEBA, os principais componentes da UEBA, o papel da UEBA na resposta a incidentes e as melhores práticas da UEBA.

Como funciona o User and Entity Behavior Analytics?

A análise de comportamento do usuário e da entidade primeiro coleta informações sobre o comportamento esperado das pessoas e máquinas em sua organização de repositórios de dados, como um data lake, um data warehouse ou por meio do SIEM.

A UEBA então usa abordagens de análise avançada para processar essas informações para determinar e definir melhor uma linha de base de padrões de comportamento: de onde um funcionário faz login, seu nível de privilégio, arquivos, servidores que eles acessam com frequência, hora e frequência de acesso e dispositivos que eles usam para Acesso.

A UEBA monitora continuamente as atividades do usuário e da entidade, compara-as com o comportamento da linha de base e decide quais ações podem resultar em um ataque.

A UEBA pode saber quando um usuário está realizando suas atividades normais e quando um ataque está acontecendo. Embora um hacker possa acessar os detalhes de login de um funcionário, ele não poderá imitar suas atividades e comportamentos regulares.

Uma solução UEBA tem três componentes principais:

Análise de dados: A UEBA coleta e organiza dados de usuários e entidades para construir um perfil padrão de como cada usuário normalmente age. Modelos estatísticos são então formulados e aplicados para detectar atividades anômalas e alertar a equipe de segurança.

Integração de dados: Para tornar o sistema mais resiliente, a UEBA compara dados obtidos de várias fontes – como logs do sistema, dados de captura de pacotes e outros conjuntos de dados – com dados coletados de sistemas de segurança existentes.

Apresentação de dados: Processo através do qual o sistema UEBA comunica suas descobertas e a resposta apropriada. Esse processo normalmente envolve a emissão de uma solicitação para que os analistas de segurança investiguem um comportamento incomum.

O papel da UEBA na resposta a incidentes

A análise de comportamento de usuários e entidades usa aprendizado de máquina e aprendizado profundo para monitorar e analisar o comportamento normal de humanos e máquinas em sua organização.

Se houver um desvio do padrão regular, o sistema UEBA o detecta e realiza uma análise que determina se o comportamento incomum representa uma ameaça real ou não.

O UEBA ingere dados de diferentes fontes de log, como banco de dados, Windows AD, VPN, proxy, emblema, arquivos e pontos de extremidade para realizar essa análise. Usando essas entradas e comportamento aprendido, a UEBA pode fundir as informações para formar uma pontuação final para classificação de risco e enviar um relatório detalhado aos analistas de segurança.

Por exemplo, a UEBA pode ver um funcionário vindo pela VPN da África pela primeira vez. Só porque o comportamento do funcionário é anormal não significa que seja uma ameaça; o usuário pode simplesmente estar viajando. No entanto, se o mesmo funcionário do departamento de recursos humanos acessar repentinamente a sub-rede financeira, a UEBA reconhecerá as atividades do funcionário como suspeitas e alertará a equipe de segurança.

Aqui está outro cenário relacionável.

Harry, um funcionário do Hospital Mount Sinai, em Nova York, está desesperado por dinheiro. Neste dia em particular, Harry espera que todos saiam do consultório e, às 19h, baixa as informações confidenciais dos pacientes para um dispositivo USB. Ele pretende vender os dados roubados no mercado negro por um dólar alto.

Felizmente, o Mount Sinai Hospital utiliza uma solução UEBA, que monitora o comportamento de cada usuário e entidade dentro da rede hospitalar.

Embora Harry tenha permissão para acessar as informações do paciente, o sistema UEBA aumenta sua pontuação de risco quando detecta um desvio de suas atividades habituais, que normalmente envolvem visualizar, criar e editar registros de pacientes entre 9h e 17h.

Quando Harry tenta acessar as informações às 19h, o sistema identifica irregularidades de padrão e tempo e atribui uma pontuação de risco.

Você pode configurar seu sistema UEBA para simplesmente criar um alerta para a equipe de segurança sugerir investigações adicionais, ou pode configurá-lo para tomar medidas imediatas, como desligar automaticamente a conectividade de rede para esse funcionário devido ao ataque cibernético suspeito.

Preciso de uma solução UEBA?

Uma solução UEBA é essencial para as organizações porque os hackers estão realizando ataques mais sofisticados e cada vez mais difíceis de detectar. Isso é especialmente verdadeiro nos casos em que a ameaça vem de dentro.

De acordo com estatísticas recentes de segurança cibernética, mais de 34% das empresas são afetadas por ameaças internas em todo o mundo. Além disso, 85% das empresas dizem que é difícil quantificar o custo real de um ataque interno.

Como resultado, as equipes de segurança estão mudando para novas abordagens de detecção e resposta a incidentes (IR). Para equilibrar e aumentar seus sistemas de segurança, os analistas de segurança estão mesclando tecnologias como análise de comportamento de usuário e entidade (UEBA) com SIEMs convencionais e outros sistemas de prevenção legados.

A UEBA oferece um sistema de detecção de ameaças internas mais poderoso em comparação com outras soluções de segurança tradicionais. Ele monitora não apenas o comportamento humano anômalo, mas também movimentos laterais suspeitos. A UEBA também rastreia atividades em seus serviços de nuvem, dispositivos móveis e dispositivos da Internet das Coisas.

Um sofisticado sistema UEBA ingere dados de todas as diferentes fontes de log e cria um relatório detalhado do ataque para seus analistas de segurança. Isso poupa à sua equipe de segurança o tempo gasto passando por inúmeros logs para determinar o dano real devido a um ataque.

Aqui estão alguns dos muitos casos de uso da UEBA.

Os 6 principais casos de uso da UEBA

#1. A UEBA detecta abuso de privilégios internos quando os usuários realizam atividades arriscadas fora do comportamento normal estabelecido.

#2. A UEBA combina informações suspeitas de diferentes fontes para criar uma pontuação de risco para classificação de risco.

#3. A UEBA realiza a priorização de incidentes reduzindo os falsos positivos. Ele elimina a fadiga de alertas e possibilita que as equipes de segurança se concentrem em alertas de alto risco.

#4. O UEBA evita a perda e a exfiltração de dados porque o sistema envia alertas quando detecta que dados confidenciais estão sendo movidos dentro da rede ou transferidos para fora da rede.

#5. A UEBA ajuda a detectar o movimento lateral de hackers dentro da rede que podem ter roubado credenciais de login de funcionários.

#6. A UEBA também fornece respostas automatizadas a incidentes, permitindo que as equipes de segurança respondam a incidentes de segurança em tempo real.

Como a UEBA melhora o UBA e os sistemas de segurança legados, como o SIEM

A UEBA não substitui outros sistemas de segurança, mas representa uma melhoria significativa usada em conjunto com outras soluções para uma segurança cibernética mais eficaz. A UEBA difere da análise de comportamento do usuário (UBA) porque a UEBA inclui “Entidades” e “Eventos”, como servidores, roteadores e terminais.

Uma solução UEBA é mais abrangente que UBA porque monitora processos não humanos e entidades de máquina para identificar ameaças com mais precisão.

SIEM significa informações de segurança e gerenciamento de eventos. O SIEM legado tradicional pode não ser capaz de detectar ameaças sofisticadas por si só porque não foi projetado para monitorar ameaças em tempo real. E considerando que os hackers geralmente evitam ataques pontuais simples e, em vez disso, se envolvem em uma cadeia de ataques sofisticados, eles podem passar despercebidos por ferramentas tradicionais de detecção de ameaças, como o SIEM, por semanas ou até meses.

Uma solução UEBA sofisticada aborda essa limitação. Os sistemas UEBA analisam os dados armazenados pelo SIEM e trabalham juntos para monitorar as ameaças em tempo real, permitindo que você responda às violações com rapidez e facilidade.

Portanto, ao mesclar as ferramentas UEBA e SIEM, as organizações podem ser muito mais eficazes na detecção e análise de ameaças, abordar vulnerabilidades rapidamente e evitar ataques.

Práticas recomendadas do User and Entity Behavior Analytics

Aqui estão cinco práticas recomendadas para análise de comportamento do usuário que fornecem informações sobre o que fazer ao criar uma linha de base para o comportamento do usuário.

#1. Definir casos de uso

Defina os casos de uso que você deseja que sua solução UEBA identifique. Isso pode ser a detecção de abuso de contas privilegiadas, comprometimento de credenciais ou ameaças internas. Definir casos de uso ajuda a determinar quais dados coletar para monitoramento.

#2. Definir fontes de dados

Quanto mais tipos de dados seus sistemas UEBA puderem manipular, mais precisa será a linha de base. Algumas fontes de dados incluem logs do sistema ou dados de recursos humanos, como histórico de desempenho do funcionário.

#3. Definir comportamentos sobre quais dados serão coletados

Isso pode incluir as horas de trabalho dos funcionários, aplicativos e dispositivos que eles acessam com frequência e ritmos de digitação. Com esses dados em vigor, você pode entender melhor os possíveis motivos para falsos positivos.

#4. Defina uma duração para estabelecer a linha de base

Ao determinar a duração do período de referência, é essencial considerar as metas de segurança do seu negócio e as atividades dos usuários.

O período de referência não deve ser muito curto ou muito longo. Isso ocorre porque você pode não conseguir coletar as informações corretas se encerrar a duração da linha de base muito rápido, resultando em uma alta taxa de falsos positivos. Por outro lado, algumas atividades maliciosas podem ser transmitidas normalmente se você demorar muito para coletar as informações de linha de base.

#5. Atualize seus dados de linha de base regularmente

Você pode precisar reconstruir seus dados de linha de base regularmente porque as atividades do usuário e da entidade mudam o tempo todo. Um funcionário pode ser promovido e mudar suas tarefas e projetos, nível de privilégio e atividades. Os sistemas UEBA podem ser configurados automaticamente para coletar dados e ajustar os dados de linha de base quando ocorrerem alterações.

Palavras finais

À medida que nos tornamos cada vez mais dependentes da tecnologia, as ameaças à segurança cibernética estão se tornando mais complexas. Uma grande empresa deve proteger seus sistemas que contêm dados confidenciais próprios e de seus clientes para evitar violações de segurança em grande escala. A UEBA oferece um sistema de resposta a incidentes em tempo real que pode impedir ataques.

Table of Contents