Após criar modelos de base, ferramentas de UBA monitoram os usuários e comparam seu comportamento com esses modelos. Quando detectam desvios que podem sinalizar ameaças potenciais, alertam a equipe de segurança.
As UBAs podem detectar anomalias de várias maneiras, e muitas ferramentas de UBA utilizam uma combinação de métodos de detecção.
Algumas ferramentas de UBA utilizam sistemas baseados em regras onde as equipes de segurança definem manualmente situações que devem acionar alertas, como usuários tentando acessar ativos além de seus níveis de permissão.
Muitas ferramentas de UBA também utilizam algoritmos de IA e ML para analisar o comportamento do usuário e identificar anomalias. Utilizando IA e ML, a UBA consegue identificar desvios do comportamento passado de um usuário.
Por exemplo, se um usuário acessou um aplicativo apenas durante o horário de trabalho no passado e agora está fazendo login à noite e nos fins de semana, isso pode indicar uma conta comprometida.
As ferramentas de UBA também podem usar IA e ML para comparar usuários com seus pares e detectar anomalias dessa forma.
Por exemplo, é muito provável que ninguém no departamento de marketing precise acessar registros de cartões de crédito de clientes. Se um usuário do marketing começa a tentar acessar esses registros, isso pode sinalizar uma tentativa de exfiltração de dados.
Além de treinar algoritmos de IA e ML com base nos comportamentos dos usuários, as organizações podem utilizar feeds de inteligência de ameaças para ensinar as ferramentas de UBA a identificar indicadores conhecidos de atividade maliciosa.
Pontuações de risco
As ferramentas de UBA não levantam alertas toda vez que um usuário faz algo fora do comum. Afinal, as pessoas frequentemente têm razões legítimas para se envolverem em comportamentos "anômalos". Por exemplo, um usuário pode compartilhar dados com uma parte previamente desconhecida porque está trabalhando com um novo fornecedor pela primeira vez.
Em vez de marcar eventos individuais, muitas ferramentas de UBA atribuem a cada usuário uma pontuação de risco. Sempre que um usuário faz algo incomum, sua pontuação de risco aumenta. Quanto mais arriscada for a anomalia, maior será o aumento. Quando a pontuação de risco do usuário ultrapassa um certo limite, a ferramenta de UBA alerta a equipe de segurança.
Dessa forma, a ferramenta de UBA não sobrecarrega a equipe de segurança com anomalias menores. Contudo, ainda identificaria um padrão de anomalias regulares na atividade de um usuário, o que provavelmente indica uma ciberameaça. Uma única anomalia significativa também pode desencadear um alerta se representar um risco suficientemente alto.