O que é análise de comportamento de usuário e entidade (UEBA)?

O termo UEBA, cunhado pela primeira vez pelo Gartner em 2015, é uma evolução da análise de comportamento de usuários (UBA). Enquanto a UBA rastreava apenas padrões de comportamento de usuários finais, a UEBA também monitora entidades não usuárias, como servidores, roteadores e dispositivos de Internet das Coisas (IoT) para detectar comportamentos anômalos ou atividades suspeitas que possam indicar ameaças ou ataques de segurança.

A UEBA é eficaz na identificação de ameaças internas — agentes internos maliciosos ou hackers que usam credenciais internas comprometidas — que podem escapar de outras ferramentas de segurança porque imitam o tráfego autorizado da rede.

A UEBA é usada dentro dos centros de operações de segurança (SOCs) junto com outras ferramentas de segurança empresarial, e a funcionalidade da UEBA é frequentemente incluída em soluções de segurança empresarial, como gerenciamento de informações e eventos de segurança (SIEM), detecção e resposta de endpoint (EDR), detecção e resposta estendida (XDR) e gerenciamento de acesso e identidade (IAM).

As soluções UEBA fornecem insights de segurança através de análises de dados e aprendizado de máquina. As ferramentas de análise comportamental dentro do sistema UEBA ingerem e analisam grandes volumes de dados de várias fontes para criar uma imagem de base de como usuários privilegiados e entidades normalmente funcionam. Em seguida, utilizam aprendizado de máquina (ML) para refinar essa linha de base. À medida que o ML aprende ao longo do tempo, a solução UEBA precisa reunir e analisar menos amostras de comportamento normal para criar uma linha de base precisa.

Após modelar comportamentos de base, a UEBA aplica os mesmos recursos avançados de análise e aprendizado de máquina aos dados de atividades atuais de usuários e entidades para identificar desvios suspeitos da linha de base em tempo real. A UEBA avalia o comportamento de usuários e entidades analisando dados de tantas fontes empresariais quanto possível — quanto mais, melhor. Essas fontes tipicamente incluem:

• Equipamentos de rede e soluções de acesso à rede, como firewalls, roteadores, VPNs e soluções de IAM.
  

• Ferramentas e soluções de segurança, como software antivírus e anti-malware, EDR, sistemas de detecção e prevenção de intrusões (IDPS) e SIEM.
   

• Bancos de dados de autenticação, como o Active Directory, contêm informações críticas sobre um ambiente de rede, incluindo contas de usuário, computadores ativos no sistema e as atividades que os usuários estão autorizados a realizar.

• Feeds de inteligência de ameaças e frameworks, como MITRE ATT&CK, que fornecem informações sobre ameaças cibernéticas comuns e vulnerabilidades, incluindo ataques de dia zero, malware, botnets e outros riscos de segurança.
  

• Sistemas de planejamento de recursos empresariais (ERP) ou de recursos humanos (RH) que contêm informações importantes sobre usuários que podem representar uma ameaça, como funcionários que deram aviso prévio ou que podem estar insatisfeitos.

A UEBA usa o que aprende para identificar comportamentos anômalos e classificá-los com base no risco que representam. Por exemplo, várias tentativas de autenticação falhadas em um curto período de tempo ou padrões anormais de acesso ao sistema poderiam indicar um agente interno e gerariam um alerta de baixa pontuação. Da mesma forma, um usuário conectando várias unidades USB e engajando-se em padrões de download anormais pode indicar exfiltração de dados e seria atribuído uma pontuação de risco mais alta.

O uso dessa métrica de classificação ajuda as equipes de segurança a evitar falsos positivos e a priorizar as ameaças maiores, ao mesmo tempo em que documenta e monitora alertas de baixo nível ao longo do tempo que, em combinação, podem indicar uma ameaça lenta, porém séria.

A UEBA ajuda as empresas a identificar comportamentos suspeitos e fortalece os esforços de data loss prevention (DLP). Além desses usos táticos, a UEBA também pode atender a objetivos mais estratégicos, tais como demonstrar a conformidade com regulamentos em relação aos dados do usuário e à proteção de privacidade.

Agentes internos maliciosos: esses invasores são pessoas com acesso autorizado e até privilegiado à rede corporativa que estão tentando realizar um ataque cibernético. Os dados isolados — como arquivos de log ou registros de eventos — nem sempre conseguem detectar essas pessoas, mas análises avançadas podem. Como a UEBA fornece insights sobre usuários específicos, em vez de endereços IP, ela pode identificar usuários individuais que violam políticas de segurança.

Agentes internos comprometidos: esses atacantes obtêm acesso às credenciais de usuários ou dispositivos autorizados por meio de esquemas de phishing, ataques de força bruta ou outros meios. Ferramentas de segurança típicas podem não detectá-los porque o uso de credenciais legítimas, embora roubadas, faz com que o atacante pareça autorizado. Uma vez dentro, esses atacantes se movem lateralmente pela rede, obtendo novas credenciais para escalar seus privilégios e alcançar ativos mais confidenciais. Embora esses atacantes possam estar usando credenciais legítimas, a UEBA pode detectar seu comportamento anômalo para ajudar a impedir o ataque.

Entidades comprometidas: muitas organizações, especialmente fabricantes e hospitais, usam um número significativo de dispositivos conectados, como dispositivos IoT, muitas vezes com pouca ou nenhuma configuração de segurança. A falta de proteção torna essas entidades alvos ideais para hackers, que podem sequestrar esses dispositivos para acessar fontes de dados confidenciais, interromper operações ou realizar ataques de distributed denial-of-service (DDoS). A UEBA pode ajudar a identificar comportamentos que indicam que essas entidades foram comprometidas, para que as ameaças possam ser tratadas antes de escalarem.

Exfiltração de dados: ameaças internas e agentes maliciosos frequentemente buscam roubar dados pessoais, propriedade intelectual ou documentos de estratégias empresariais de servidores comprometidos, computadores ou outros dispositivos. A UEBA ajuda as equipes de segurança a detectar violações de dados em tempo real, alertando sobre padrões incomuns de download e acesso a dados.

Implementação da segurança zero trust: uma abordagem de segurança zero trust é aquela que não confia e verifica continuamente todos os usuários ou entidades, estejam eles fora ou já dentro da rede. A zero trust exige que todos os usuários e entidades sejam autenticados, autorizados e validados antes de receberem acesso a aplicações e dados. Depois que o acesso é concedido, eles devem ser continuamente reautenticados, reautorizados e revalidados para manter ou expandir esse acesso durante uma sessão.

Uma arquitetura zero trust eficaz requer visibilidade máxima de todos os usuários, dispositivos, ativos e entidades na rede. A UEBA oferece aos analistas de segurança uma visibilidade rica e em tempo real de todas as atividades de usuários finais e entidades, incluindo a identificação de quais dispositivos estão tentando se conectar à rede, quais usuários estão tentando exceder seus privilégios e muito mais.

Conformidade com o GDPR: o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia impõe requisitos rigorosos às organizações para proteger dados confidenciais. De acordo com o GDPR, as empresas devem rastrear quais dados pessoais são acessados, por quem, como são usados e quando são excluídos. As ferramentas UEBA podem ajudar as empresas a cumprir o GDPR monitorando o comportamento do usuário e os dados confidenciais que eles acessam.

A UEBA, ou recursos do tipo UEBA, estão incluídos em muitas ferramentas de segurança disponíveis atualmente. Embora possa ser utilizada como um produto independente, a UEBA deve ser vista como uma ferramenta na abrangente caixa de ferramentas de cibersegurança. Em particular, a UEBA é frequentemente usada com as seguintes ferramentas:

Gerenciamento de informações e eventos de segurança (SIEM): os os sistemas SIEM agregam dados de eventos de segurança de ferramentas de segurança internas díspares em um único log e analisam esses dados para detectar comportamentos incomuns e ameaças potenciais. A UEBA pode expandir a visibilidade do SIEM na rede através de seus recursos de detecção de ameaças internas e análise de comportamento de usuários. Hoje, muitas soluções SIEM incluem UEBA.

Detecção e resposta de endpoint (EDR): as ferramentas EDR monitoram endpoints do sistema, como notebooks, impressoras e dispositivos IoT, em busca de sinais de comportamento incomum que possam indicar uma ameaça. Quando ameaças são detectadas, o EDR as contém automaticamente. A UEBA complementa — e muitas vezes faz parte de — uma solução EDR ao monitorar o comportamento dos usuários nesses endpoints. Por exemplo, um login suspeito pode acionar um alerta de baixo nível para o EDR, mas se a UEBA encontrar o endpoint sendo usado para acessar informações confidenciais, o alerta pode ser devidamente elevado e tratado rapidamente.

Gerenciamento de acesso e identidade (IAM): as ferramentas de gerenciamento de identidade e acesso garantem que as pessoas e dispositivos certos possam usar as aplicações e dados certos quando necessário. O IAM é proativo e busca prevenir o acesso não autorizado enquanto facilita o acesso autorizado. A UEBA adiciona outro nível de proteção monitorando sinais de credenciais comprometidas ou abuso de privilégios por usuários autorizados.