O que é análise de comportamento de usuário e entidade (UEBA)?

As soluções UEBA fornecem insights de segurança através de análises de dados e aprendizado de máquina. As ferramentas de análise comportamental dentro do sistema UEBA ingerem e analisam grandes volumes de dados de várias fontes para criar uma imagem de base de como usuários privilegiados e entidades normalmente funcionam. Em seguida, utilizam aprendizado de máquina (ML) para refinar essa linha de base. À medida que o ML aprende ao longo do tempo, a solução UEBA precisa reunir e analisar menos amostras de comportamento normal para criar uma linha de base precisa.

Após modelar comportamentos de base, a UEBA aplica os mesmos recursos avançados de análise e aprendizado de máquina aos dados de atividades atuais de usuários e entidades para identificar desvios suspeitos da linha de base em tempo real. A UEBA avalia o comportamento de usuários e entidades analisando dados de tantas fontes empresariais quanto possível — quanto mais, melhor. Essas fontes tipicamente incluem:

• Equipamentos de rede e soluções de acesso à rede, como firewalls, roteadores, VPNs e soluções de IAM.
  

• Ferramentas e soluções de segurança, como software antivírus e anti-malware, EDR, sistemas de detecção e prevenção de intrusões (IDPS) e SIEM.
  

• Bancos de dados de autenticação, como Active Directory, que contêm informações críticas sobre um ambiente de rede, as contas de usuários e computadores ativos no sistema e as atividades permitidas aos usuários.
  

• Feeds de inteligência de ameaças e frameworks, como MITRE ATT&CK, que fornecem informações sobre ameaças cibernéticas comuns e vulnerabilidades, incluindo ataques de dia zero, malware, botnets e outros riscos de segurança.
  

• Sistemas de planejamento de recursos empresariais (ERP) ou de recursos humanos (RH) que contêm informações importantes sobre usuários que podem representar uma ameaça, como funcionários que deram aviso prévio ou que podem estar insatisfeitos.

A UEBA usa o que aprende para identificar comportamentos anômalos e classificá-los com base no risco que representam. Por exemplo, várias tentativas de autenticação falhadas em um curto período de tempo ou padrões anormais de acesso ao sistema poderiam indicar um agente interno e gerariam um alerta de baixa pontuação. Da mesma forma, um usuário conectando várias unidades USB e engajando-se em padrões de download anormais pode indicar exfiltração de dados e seria atribuído uma pontuação de risco mais alta.

O uso dessa métrica de classificação ajuda as equipes de segurança a evitar falsos positivos e a priorizar as ameaças maiores, ao mesmo tempo em que documenta e monitora alertas de baixo nível ao longo do tempo que, em combinação, podem indicar uma ameaça lenta, porém séria.

A UEBA ajuda as empresas a identificar comportamentos suspeitos e fortalece os esforços de data loss prevention (DLP). Além desses usos táticos, a UEBA também pode atender a objetivos mais estratégicos, tais como demonstrar a conformidade com regulamentos em relação aos dados do usuário e à proteção de privacidade.

Casos de uso tático

Agentes internos maliciosos: são pessoas com acesso autorizado e até privilegiado à rede corporativa que estão tentando realizar um ataque cibernético. Os dados isolados — como arquivos de log ou registros de eventos — nem sempre conseguem detectar essas pessoas, mas análises avançadas podem. Como a UEBA fornece insights sobre usuários específicos, em vez de endereços IP, ela pode identificar usuários individuais que violam políticas de segurança.

Agentes internos comprometidos: esses atacantes obtêm acesso às credenciais de usuários ou dispositivos autorizados por meio de esquemas de phishing, ataques de força bruta ou outros meios. Ferramentas de segurança típicas podem não detectá-los porque o uso de credenciais legítimas, embora roubadas, faz com que o atacante pareça autorizado. Uma vez dentro, esses atacantes se movem lateralmente pela rede, obtendo novas credenciais para escalar seus privilégios e alcançar ativos mais sensíveis. Embora esses atacantes possam estar usando credenciais legítimas, a UEBA pode detectar seu comportamento anômalo para ajudar a impedir o ataque.

Entidades comprometidas: muitas organizações, especialmente fabricantes e hospitais, usam um número significativo de dispositivos conectados, como dispositivos IoT, muitas vezes com pouca ou nenhuma configuração de segurança. A falta de proteção torna essas entidades alvos ideais para hackers, que podem sequestrar esses dispositivos para acessar fontes de dados sensíveis, interromper operações ou realizar ataques de distributed denial-of-service (DDoS). A UEBA pode ajudar a identificar comportamentos que indicam que essas entidades foram comprometidas, para que as ameaças possam ser tratadas antes de escalarem.

Exfiltração de dados: ameaças internas e agentes maliciosos frequentemente buscam roubar dados pessoais, propriedade intelectual ou documentos de estratégias empresariais de servidores comprometidos, computadores ou outros dispositivos. A UEBA ajuda as equipes de segurança a detectar vazamentos de dados em tempo real, alertando sobre padrões incomuns de download e acesso a dados.

Casos de uso estratégico

Implementando segurança zero trust: uma abordagem de segurança zero trust é aquela que nunca confia e verifica continuamente todos os usuários ou entidades, estejam eles fora ou já dentro da rede. Especificamente, o zero trust exige que todos os usuários e entidades sejam autenticados, autorizados e validados antes de receberem acesso a aplicações e dados — e posteriormente sejam continuamente reautenticados, reautorizados e revalidados para manter ou expandir esse acesso durante uma sessão.

Uma arquitetura zero trust eficaz requer visibilidade máxima de todos os usuários, dispositivos, ativos e entidades na rede. A UEBA oferece aos analistas de segurança uma visibilidade rica e em tempo real de todas as atividades de usuários finais e entidades, incluindo a identificação de quais dispositivos estão tentando se conectar à rede, quais usuários estão tentando exceder seus privilégios e muito mais.

Conformidade com o GDPR: o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia impõe requisitos rigorosos às organizações para proteger dados sensíveis. De acordo com o GDPR, as empresas devem rastrear quais dados pessoais são acessados, por quem, como são usados e quando são excluídos. As ferramentas UEBA podem ajudar as empresas a cumprir o GDPR monitorando o comportamento do usuário e os dados sensíveis que eles acessam.

A UEBA, ou recursos do tipo UEBA, estão incluídos em muitas ferramentas de segurança disponíveis atualmente. Embora possa ser utilizada como um produto independente, a UEBA deve ser vista como uma ferramenta na abrangente caixa de ferramentas de cibersegurança. Em particular, a UEBA é frequentemente usada em conjunto ou integrada nas seguintes ferramentas:

Gerenciamento de informações e eventos de segurança (SIEM): os os sistemas SIEM agregam dados de eventos de segurança de ferramentas de segurança internas díspares em um único log e analisam esses dados para detectar comportamentos incomuns e ameaças potenciais. A UEBA pode expandir a visibilidade do SIEM na rede através de seus recursos de detecção de ameaças internas e análise de comportamento de usuários. Hoje, muitas soluções SIEM incluem UEBA.

Detecção e resposta de endpoint (EDR): as ferramentas EDR monitoram endpoints do sistema, como notebooks, impressoras e dispositivos IoT, em busca de sinais de comportamento incomum que possam indicar uma ameaça. Quando ameaças são detectadas, o EDR as contém automaticamente. A UEBA complementa — e muitas vezes faz parte de — uma solução EDR ao monitorar o comportamento dos usuários nesses endpoints. Por exemplo, um login suspeito pode acionar um alerta de baixo nível para o EDR, mas se a UEBA encontrar o endpoint sendo usado para acessar informações confidenciais, o alerta pode ser devidamente elevado e tratado rapidamente.

Gerenciamento de acesso e identidade (IAM): as ferramentas de gerenciamento de identidade e acesso garantem que as pessoas e dispositivos certos possam usar as aplicações e dados certos quando necessário. O IAM é proativo e busca prevenir o acesso não autorizado enquanto facilita o acesso autorizado. A UEBA adiciona outro nível de proteção monitorando sinais de credenciais comprometidas ou abuso de privilégios por usuários autorizados.