Minha IBM Efetue login Inscreva-se
O que é análise de comportamento do usuário (UBA)?

O que é análise de comportamento do usuário (UBA)?

Explore a solução UBA da IBM Inscreva-se para receber novidades sobre tópico de segurança
Ilustração de um smartphone com leitor de impressão digital e segurança em nuvem

Publicado: 19 de junho de 2024

Colaborador: Matthew Kosinski

O que é análise de comportamento do usuário (UBA)?

O que é análise de comportamento do usuário (UBA)?

Na área de cibersegurança, a análise de comportamento do usuário (UBA) refere-se à utilização de análise de dados, inteligência artificial e aprendizado de máquina para acompanhar o comportamento dos usuários em uma rede, modelar seus padrões normais e identificar desvios que possam sinalizar ameaças de segurança. 

As ferramentas de UBA podem detectar quando usuários individuais fazem coisas que normalmente não fariam, como fazer login a partir de um novo endereço IP ou visualizar dados sensíveis com os quais geralmente não trabalham.

Essas pequenas anomalias podem não acionar outras ferramentas de monitoramento de rede. No entanto, a UBA pode determinar que essa atividade é anormal para esse usuário específico e alertar a equipe de segurança. 

Devido à sua capacidade de detectar comportamentos discretamente suspeitos, as ferramentas de UBA podem auxiliar os centros de operações de segurança (SOCs) a identificar ataques evasivos, como ameaças internas, ameaças persistentes avançadas e hackers que utilizam credenciais furtadas.   

Essa capacidade é importante para os SOCs atualmente. O uso indevido de contas válidas é a forma mais comum pela qual cibercriminosos invadem redes, de acordo com o IBM X-Force Threat Intelligence Index.

As ferramentas e técnicas de UBA são utilizadas em diversos campos. Por exemplo, profissionais de marketing e designers de produtos frequentemente monitoram dados comportamentais dos usuários para entender como as pessoas interagem com aplicativos e sites. No entanto, em cibersegurança, a UBA é utilizada principalmente para detecção de ameaças. 

UBA versus UEBA

Inicialmente definido pela empresa de análise Gartner em 2015, análise de comportamento de usuários e entidades (UEBA) é um tipo de ferramentas de segurança que se desenvolveu a partir da UBA.  

Assim como a UBA, ferramentas de UEBA monitoram a atividade da rede, estabelecem bases para comportamentos normais e detectam desvios dessas normas. A principal diferença é que a UBA rastreia apenas usuários humanos, enquanto os sistemas de UEBA também monitoram atividades e métricas de entidades não humanas, como aplicativos e dispositivos.   

Existe certa discussão sobre se os termos podem ser usados de forma intercambiável. Algumas empresas, como a IDC, sustentam que essas são classes distintas de tecnologia.1 Por outro lado, o ex-analista da Gartner, Anton Chuvakin, afirmou que considera UBA e UEBA como praticamente sinônimos.

Independentemente disso, o foco nos usuários é o que distingue UBA e UEBA de ferramentas de segurança semelhantes, como gerenciamento de informações e eventos de segurança (SIEM) e detecção e resposta de endpoints (EDR). Essas ferramentas permitem que as equipes de segurança entendam e analisem a atividade do sistema no nível do usuário individual. Rastrear entidades não humanas pode adicionar contexto, mas não é necessariamente o objetivo principal dessas ferramentas.  

Ou, para citar Chuvakin: "'U' é obrigatório," mas "ir além de 'U' para outros 'E' não é."

Como o UBA funciona

Como o UBA funciona

Ferramentas de análise de comportamento do usuário (UBA) coletam continuamente dados dos usuários a partir de fontes em toda a rede, que são usados para criar e refinar modelos de base do comportamento do usuário. As ferramentas comparam a atividade do usuário com essas bases em tempo real. Ao identificar comportamento anômalo que apresenta um risco considerável, as ferramentas alertam os stakeholders pertinentes. 

Coleta de dados do usuário

As ferramentas de UBA coletam dados sobre atributos dos usuários (por exemplo: funções, permissões, localização) e atividades dos usuários (por exemplo: alterações que fazem em um arquivo, sites que visitam, dados que movem). As ferramentas de UBA podem obter essas informações de diversas fontes de dados, tais como: 

  • Diretórios de usuários, como o Microsoft Active Directory 
     

  • Registros de tráfego de rede de sistemas de detecção e prevenção de intrusões (IDPSs), roteadores, VPNs e outras infraestruturas
     

  • Dados de atividade do usuário de aplicações, arquivos, endpoints e bancos de dados
     

  • Dados de login e autenticação de sistemas de gerenciamento de identidade e acesso 
     

  • Dados de eventos de SIEMs, EDRs e outras ferramentas de segurança 

Criação de referências comportamentais

As ferramentas de UBA utilizam análise de dados para transformar dados dos usuários em modelos de base de atividade normal.  

As ferramentas de UBA podem utilizar métodos de análise básicos, como modelagem estatística e correspondência de padrões. Muitas também empregam análises avançadas, como inteligência artificial (IA) e aprendizado de máquina (ML). 

A IA e ML permitem que ferramentas de UBA analisem grandes conjuntos de dados para criar modelos de comportamento mais precisos. Os algoritmos de aprendizado de máquina também podem refinar esses modelos ao longo do tempo, fazendo com que evoluam juntamente com as mudanças nas operações de negócios e nas funções dos usuários. 

As ferramentas de UBA podem criar modelos de comportamento para usuários individuais e grupos de usuários. 

Para um usuário individual, o modelo pode observar coisas como de onde o usuário faz login e a quantidade média de tempo que ele passa em diferentes aplicativos. 

Para grupos de usuários, como todos os usuários de um departamento, o modelo pode considerar aspectos como os bancos de dados que esses usuários acessam e os outros usuários com quem interagem.  

Um usuário individual pode ter várias contas de usuário para os diferentes aplicativos e serviços que utiliza durante um dia de trabalho típico. Muitas ferramentas de UBA podem aprender a consolidar a atividade dessas contas sob uma única identidade de usuário unificada.

A consolidação da atividade da conta ajuda as equipes de segurança a detectar padrões de comportamento, mesmo quando a atividade do usuário está fragmentada em diferentes partes da rede.

Detecção de anomalias

Após criar modelos de base, ferramentas de UBA monitoram os usuários e comparam seu comportamento com esses modelos. Quando detectam desvios que podem sinalizar ameaças potenciais, alertam a equipe de segurança.  

As UBAs podem detectar anomalias de várias maneiras, e muitas ferramentas de UBA utilizam uma combinação de métodos de detecção.  

Algumas ferramentas de UBA utilizam sistemas baseados em regras onde as equipes de segurança definem manualmente situações que devem acionar alertas, como usuários tentando acessar ativos além de seus níveis de permissão. 

Muitas ferramentas de UBA também utilizam algoritmos de IA e ML para analisar o comportamento do usuário e identificar anomalias. Utilizando IA e ML, a UBA consegue identificar desvios do comportamento passado de um usuário.

Por exemplo, se um usuário acessou um aplicativo apenas durante o horário de trabalho no passado e agora está fazendo login à noite e nos fins de semana, isso pode indicar uma conta comprometida.  

As ferramentas de UBA também podem usar IA e ML para comparar usuários com seus pares e detectar anomalias dessa forma.

Por exemplo, é muito provável que ninguém no departamento de marketing precise acessar registros de cartões de crédito de clientes. Se um usuário do marketing começa a tentar acessar esses registros, isso pode sinalizar uma tentativa de exfiltração de dados.

Além de treinar algoritmos de IA e ML com base nos comportamentos dos usuários, as organizações podem utilizar feeds de inteligência de ameaças para ensinar as ferramentas de UBA a identificar indicadores conhecidos de atividade maliciosa.  

Pontuações de risco

As ferramentas de UBA não levantam alertas toda vez que um usuário faz algo fora do comum. Afinal, as pessoas frequentemente têm razões legítimas para se envolverem em comportamentos "anômalos". Por exemplo, um usuário pode compartilhar dados com uma parte previamente desconhecida porque está trabalhando com um novo fornecedor pela primeira vez. 

Em vez de marcar eventos individuais, muitas ferramentas de UBA atribuem a cada usuário uma pontuação de risco. Sempre que um usuário faz algo incomum, sua pontuação de risco aumenta. Quanto mais arriscada for a anomalia, maior será o aumento. Quando a pontuação de risco do usuário ultrapassa um certo limite, a ferramenta de UBA alerta a equipe de segurança. 

Dessa forma, a ferramenta de UBA não sobrecarrega a equipe de segurança com anomalias menores. Contudo, ainda identificaria um padrão de anomalias regulares na atividade de um usuário, o que provavelmente indica uma ciberameaça. Uma única anomalia significativa também pode desencadear um alerta se representar um risco suficientemente alto.   

Gerando alertas

Quando a pontuação de risco de um usuário é alta o suficiente, a ferramenta de UBA informa o SOC, a equipe de resposta a incidentes ou outros stakeholders.

Algumas ferramentas de UBA possuem dashboards dedicados onde as equipes de segurança podem monitorar a atividade dos usuários, acompanhar pontuações de risco e receber alertas. Muitas ferramentas de UBA também podem enviar alertas para SIEMs ou outras ferramentas de segurança.  

Embora as ferramentas de UBA geralmente não tenham capacidade para responder diretamente a ameaças, elas podem integrar-se com outras ferramentas que possuem.  

Por exemplo, algumas plataformas de gerenciamento de identidade e acesso (IAM) usam dados de UBA para autenticação adaptativa. Se a pontuação de risco de um usuário ultrapassa um certo limite, talvez porque ele está fazendo login de um novo dispositivo, o sistema IAM pode solicitar fatores de autenticação adicionais

Casos de uso da UBA

Casos de uso da UBA

As ferramentas de UBA focam na atividade dos usuários dentro da rede e podem auxiliar as equipes de segurança a identificar agentes maliciosos que passam por suas defesas de perímetro.

Além disso, ao monitorar padrões de comportamento do usuário a longo prazo, a UBA pode detectar os rastros quase imperceptíveis que os ataques cibernéticos mais sofisticados deixam para trás.

Capturando ameaças internas

Seja intencionalmente ou por negligência, ameaças internas são usuários que abusam ou fazem mau uso de seus privilégios legítimos para causar danos à empresa. Como esses usuários muitas vezes têm permissão para acessar os sistemas que estão danificando, muitas ferramentas de segurança podem deixá-los passar. 

Por outro lado, o UBA pode ver quando os usuários se comportam de forma anormal. Um usuário pode ter direitos para trabalhar com dados confidenciais, mas se ele transferir muitos desses dados para um dispositivo desconhecido, o UBA pode sinalizar isso como possível roubo.

Detectando contas sequestradas

Os hackers podem usar phishing ou malware para roubar credenciais e se disfarçar de usuários legítimos. Assim como nas ameaças internas, as ferramentas de segurança podem não detectar esses invasores, pois eles se comportam como usuários autorizados. 

No entanto, os hackers inevitavelmente farão algo malicioso que um usuário real não faria, como explorar vulnerabilidades ou realizar movimentos laterais. As ferramentas de UBA podem captar essas anomalias. 

Caçando ameaças persistentes avançadas (APTs)

As APTs podem se esconder em redes por meses ou anos, roubando dados silenciosamente ou espalhando malware. Eles geralmente evitam a detecção se disfarçando como usuários legítimos e tomando muitas pequenas ações ao longo do tempo, em vez de fazer grandes movimentos arriscados. As UBAs se destacam na detecção desses padrões de comportamento suspeito a longo prazo.

Desafios da UBA

Desafios da UBA

As ferramentas de UBA podem gerar falsos positivos e falsos negativos em algumas circunstâncias. As organizações podem reduzir essas possibilidades utilizando pontuações de risco e treinando algoritmos de IA e ML nos padrões únicos de seus usuários, mas podem não eliminar o risco completamente. 

Imagine que um usuário inicie a transferência de uma quantidade massiva de dados sensíveis de uma nuvem para outra como parte de uma migração planejada. O modelo básico da UBA pode não levar em conta essa atividade aprovada, mas rara, e, portanto, acionar alarmes. 

Falsos negativos surgem quando uma ferramenta de UBA aprende a tratar ameaças potenciais como comportamentos aceitáveis. Isso pode acontecer quando anomalias ocorrem repetidamente sem correção.

A IDC relata uma história desse tipo em que um fornecedor exibiu suas habilidades de detecção de ameaças de UBA ao simular brechas de dados para clientes. Eventualmente, a ferramenta de UBA viu a mesma violação de dados ocorrer tantas vezes que determinou que isso era um comportamento normal que não exigia um alerta.1

UBA e outras ferramentas de segurança

UBA e outras ferramentas de segurança

Embora alguns fornecedores ofereçam soluções de UBA independentes, o mercado está se inclinando cada vez mais para fornecer funcionalidades de UBA como uma integração ou complemento a outras ferramentas de segurança. Especificamente, os recursos do UBA geralmente são incorporados em SIEMs, EDRs e plataformas IAM. 

Gerenciamento de informações e eventos de segurança (SIEM)

Os SIEMs consolidam dados de eventos de segurança de diversas ferramentas de segurança internas em um único log e analisam esses dados para identificar atividades incomuns. Muitos SIEMs agora incluem recursos de UBA ou integram-se facilmente com ferramentas de UBA, o que pode ajudar as organizações a otimizar seus dados de SIEM.  

A combinação de dados de comportamento do usuário com dados de eventos de segurança pode ajudar as organizações a detectar ameaças mais rapidamente e priorizar as anomalias de maior risco para investigação.

Detecção e resposta de endpoint (EDR)

As UBAs complementam as ferramentas de EDR adicionando dados de comportamento do usuário aos dados de atividade do endpoint. Isso oferece à equipe de segurança mais insights sobre as ações dos usuários em seus endpoints, o que pode tornar mais fácil identificar padrões de comportamento suspeito em vários dispositivos.

Gerenciamento de acesso e identidade (IAM)

As organizações usam as ferramentas de IAM para controlar quais usuários podem acessar quais recursos. Conforme mencionado anteriormente, a integração de ferramentas de UBA com sistemas de IAM permite que as organizações criem processos de autenticação adaptativa inteligentes que fortalecem os requisitos de autenticação à medida que a pontuação de risco do usuário cresce.

Soluções relacionadas

Soluções relacionadas

Soluções de detecção e resposta a ameaças

Use as soluções de detecção e resposta a ameaças da IBM para fortalecer sua segurança e acelerar a detecção de ameaças.

Explore soluções de detecção e resposta a ameaças

IBM Cyber Threat Management Services

Preveja, previna e responda às ameaças modernas aumentando a resiliência dos negócios.

Saiba mais sobre os serviços de gerenciamento de ameaças

Soluções de IA IBM para cibersegurança

Melhore a velocidade, a precisão e a produtividade das equipes de segurança com soluções impulsionadas por IA.

Explore soluções de cibersegurança com IA
Dê o próximo passo

Os serviços de cibersegurança da IBM oferecem consultoria, integração e serviços de segurança gerenciados, além de recursos ofensivos e defensivos. Combinamos uma equipe global de especialistas com tecnologia proprietária e de parceiros para cocriar programas de segurança personalizados que gerenciam riscos.

Conheça os serviços de segurança cibernética Inscreva-se no boletim informativo Think
Notas de rodapé

1 Guia do CISO para inteligência artificial (link externo ao site ibm.com). IDC Research.