O que é análise de comportamento do usuário (UBA)?

As ferramentas de UBA podem detectar quando usuários individuais fazem coisas que normalmente não fariam, como fazer login a partir de um novo endereço IP ou visualizar dados sensíveis com os quais geralmente não trabalham.

Essas pequenas anomalias podem não acionar outras ferramentas de monitoramento de rede. No entanto, a UBA pode determinar que essa atividade é anormal para esse usuário específico e alertar a equipe de segurança.

Devido à sua capacidade de detectar comportamentos discretamente suspeitos, as ferramentas de UBA podem auxiliar os centros de operações de segurança (SOCs) a identificar ataques evasivos, como ameaças internas, ameaças persistentes avançadas e hackers que utilizam credenciais roubadas.

Essa capacidade é importante para os SOCs atualmente. O uso indevido de contas válidas é a forma mais comum pela qual cibercriminosos invadem redes, de acordo com o IBM X-Force Threat Intelligence Index.

As ferramentas e técnicas de UBA são utilizadas em diversos campos. Por exemplo, profissionais de marketing e designers de produtos frequentemente monitoram dados comportamentais dos usuários para entender como as pessoas interagem com aplicativos e sites. No entanto, em cibersegurança, a UBA é utilizada principalmente para detecção de ameaças.

Inicialmente definido pela empresa de análise Gartner em 2015, análise de comportamento de usuários e entidades (UEBA) é um tipo de ferramentas de segurança que se desenvolveu a partir da UBA.

Assim como a UBA, ferramentas de UEBA monitoram a atividade da rede, estabelecem bases para comportamentos normais e detectam desvios dessas normas. A principal diferença é que a UBA rastreia apenas usuários humanos, enquanto os sistemas de UEBA também monitoram atividades e métricas de entidades não humanas, como aplicativos e dispositivos.

Existe certa discussão sobre se os termos podem ser usados de forma intercambiável. Algumas empresas, como a IDC, sustentam que essas são classes distintas de tecnologia.¹ Por outro lado, o ex-analista da Gartner, Anton Chuvakin, afirmou que considera UBA e UEBA como praticamente sinônimos.

Independentemente disso, o foco nos usuários é o que distingue UBA e UEBA de ferramentas de segurança semelhantes, como gerenciamento de informações e eventos de segurança (SIEM) e detecção e resposta de endpoint (EDR). Essas ferramentas permitem que as equipes de segurança entendam e analisem a atividade do sistema no nível do usuário individual. Rastrear entidades não humanas pode adicionar contexto, mas não é necessariamente o objetivo principal dessas ferramentas.

Ou, para citar Chuvakin: "'U' é obrigatório," mas "ir além de 'U' para outros 'E' não é."

Ferramentas de análise de dados de comportamento do usuário (UBA) coletam continuamente dados dos usuários a partir de fontes em toda a rede, que são usados para criar e refinar modelos de base do comportamento do usuário. As ferramentas comparam a atividade do usuário com essas bases em tempo real. Ao detectar comportamento anômalo que apresenta um risco considerável, as ferramentas alertam os stakeholders pertinentes.

As ferramentas de UBA coletam dados sobre atributos dos usuários (por exemplo: funções, permissões, localização) e atividades dos usuários (por exemplo: alterações que fazem em um arquivo, sites que visitam, dados que movem). As ferramentas de UBA podem obter essas informações de diversas fontes de dados, tais como:

• Diretórios de usuários, como o Microsoft Active Directory
   

• Registros de tráfego de rede de sistemas de detecção e prevenção de intrusões (IDPSs), roteadores, VPNs e outras infraestruturas
   

• Dados de atividade do usuário de aplicações, arquivos, endpoints e bancos de dados
   

• Dados de login e autenticação de sistemas de gerenciamento de acesso e identidade
   

• Dados de eventos de SIEMs, EDRs e outras ferramentas de segurança

As ferramentas de UBA utilizam análise de dados para transformar dados dos usuários em modelos de base de atividade normal.

As ferramentas de UBA podem utilizar métodos de análise básicos, como modelagem estatística e correspondência de padrões. Muitas também empregam análises avançadas, como inteligência artificial (IA) e aprendizado de máquina (ML).

A IA e ML permitem que ferramentas de UBA analisem grandes conjuntos de dados para criar modelos de comportamento mais precisos. Os algoritmos de aprendizado de máquina também podem refinar esses modelos ao longo do tempo, fazendo com que evoluam juntamente com as mudanças nas operações de negócios e nas funções dos usuários.

As ferramentas de UBA podem criar modelos de comportamento para usuários individuais e grupos de usuários.

Para um usuário individual, o modelo pode observar coisas como de onde o usuário faz login e a quantidade média de tempo que ele passa em diferentes aplicativos.

Para grupos de usuários, como todos os usuários de um departamento, o modelo pode considerar aspectos como os bancos de dados que esses usuários acessam e os outros usuários com quem interagem.

Um usuário individual pode ter várias contas de usuário para os diferentes aplicativos e serviços que utiliza durante um dia de trabalho típico. Muitas ferramentas de UBA podem aprender a consolidar a atividade dessas contas sob uma única identidade de usuário unificada.

A consolidação da atividade da conta ajuda as equipes de segurança a detectar padrões de comportamento, mesmo quando a atividade do usuário está fragmentada em diferentes partes da rede.

Após criar modelos de base, as ferramentas de UBA monitoram os usuários e comparam seu comportamento com esses modelos. Quando detectam desvios que podem sinalizar ameaças potenciais, alertam a equipe de segurança.

As UBAs podem detectar anomalias de várias maneiras, e muitas ferramentas de UBA utilizam uma combinação de métodos de detecção.

Algumas ferramentas de UBA utilizam sistemas baseados em regras onde as equipes de segurança definem manualmente situações que devem acionar alertas, como usuários tentando acessar ativos além de seus níveis de permissão.

Muitas ferramentas de UBA também utilizam algoritmos de IA e ML para analisar o comportamento do usuário e identificar anomalias. Utilizando IA e ML, a UBA consegue identificar desvios do comportamento passado de um usuário.

Por exemplo, se um usuário acessou um aplicativo apenas durante o horário de trabalho no passado e agora está fazendo login à noite e nos fins de semana, isso pode indicar uma conta comprometida.

As ferramentas de UBA também podem usar IA e ML para comparar usuários com seus pares e detectar anomalias dessa forma.

Por exemplo, é muito provável que ninguém no departamento de marketing precise acessar registros de cartões de crédito de clientes. Se um usuário do marketing começa a tentar acessar esses registros, isso pode sinalizar uma tentativa de exfiltração de dados.

Além de treinar algoritmos de IA e ML com base nos comportamentos dos usuários, as organizações podem utilizar feeds de inteligência de ameaças para ensinar as ferramentas de UBA a identificar indicadores conhecidos de atividade maliciosa.

As ferramentas de UBA não levantam alertas toda vez que um usuário faz algo fora do comum. Afinal, as pessoas frequentemente têm razões legítimas para se envolverem em comportamentos "anômalos". Por exemplo, um usuário pode compartilhar dados com uma parte previamente desconhecida porque está trabalhando com um novo fornecedor pela primeira vez.

Em vez de marcar eventos individuais, muitas ferramentas de UBA atribuem a cada usuário uma pontuação de risco. Sempre que um usuário faz algo incomum, sua pontuação de risco aumenta. Quanto mais arriscada for a anomalia, maior será o aumento. Quando a pontuação de risco do usuário ultrapassa um certo limite, a ferramenta de UBA alerta a equipe de segurança.

Dessa forma, a ferramenta de UBA não sobrecarrega a equipe de segurança com anomalias menores. Contudo, ainda identificaria um padrão de anomalias regulares na atividade de um usuário, o que provavelmente indica uma ciberameaça. Uma única anomalia significativa também pode desencadear um alerta se representar um risco suficientemente alto.

Quando a pontuação de risco de um usuário é alta o suficiente, a ferramenta de UBA informa o SOC, a equipe de resposta a incidentes ou outros stakeholders.

Algumas ferramentas de UBA possuem dashboards dedicados onde as equipes de segurança podem monitorar a atividade dos usuários, acompanhar pontuações de risco e receber alertas. Muitas ferramentas de UBA também podem enviar alertas para SIEMs ou outras ferramentas de segurança.

Embora as ferramentas de UBA geralmente não tenham capacidade para responder diretamente a ameaças, elas podem integrar-se com outras ferramentas que a tem.

Por exemplo, algumas plataformas de gerenciamento de identidade e acesso (IAM) usam dados de UBA para autenticação adaptativa. Se a pontuação de risco de um usuário ultrapassa um certo limite, talvez porque ele está fazendo login de um novo dispositivo, o sistema IAM pode solicitar fatores de autenticação adicionais.

As ferramentas de UBA focam na atividade dos usuários dentro da rede e podem auxiliar as equipes de segurança a identificar agentes maliciosos que passam por suas defesas de perímetro.

Além disso, ao monitorar padrões de comportamento do usuário a longo prazo, a UBA pode detectar os rastros quase imperceptíveis que os  ataques cibernéticos mais sofisticados deixam para trás.

As ferramentas de UBA podem gerar falsos positivos e falsos negativos em algumas circunstâncias. As organizações podem reduzir essas possibilidades utilizando pontuações de risco e treinando algoritmos de IA e ML nos padrões únicos de seus usuários, mas podem não eliminar o risco completamente.

Imagine que um usuário inicie a transferência de uma quantidade massiva de dados confidenciais de uma nuvem para outra como parte de uma migração planejada. O modelo básico da UBA pode não levar em conta essa atividade aprovada, mas rara, e, portanto, acionar alarmes.

Falsos negativos surgem quando uma ferramenta de UBA aprende a tratar ameaças potenciais como comportamentos aceitáveis. Isso pode acontecer quando anomalias ocorrem repetidamente sem correção.

Por exemplo, considere um fornecedor que mostra as habilidades de detecção de ameaças de sua UBA simulando violações de dados para os clientes durante as demonstrações. A ferramenta de UBA verá a mesma violação ocorrer repetidamente. Eventualmente, a ferramenta pode determinar que essa violação é um comportamento normal, porque acontece com muita regularidade, e parar de emitir alertas sobre isso.

Embora alguns fornecedores ofereçam soluções de UBA independentes, o mercado está se inclinando cada vez mais para fornecer funcionalidades de UBA como uma integração ou complemento a outras ferramentas de segurança. Especificamente, os recursos da UBA geralmente são incorporados em SIEMs, EDRs e plataformas IAM.

Os SIEMs consolidam dados de eventos de segurança de diversas ferramentas de segurança internas em um único log e analisam esses dados para identificar atividades incomuns. Muitos SIEMs agora incluem recursos de UBA ou integram-se facilmente com ferramentas de UBA, o que pode ajudar as organizações a otimizar seus dados de SIEM.

A combinação de dados de comportamento do usuário com dados de eventos de segurança pode ajudar as organizações a detectar ameaças mais rapidamente e priorizar as anomalias de maior risco para investigação.

As UBAs complementam as ferramentas de EDR adicionando dados de comportamento do usuário aos dados de atividade do endpoint. Isso oferece à equipe de segurança mais insights sobre as ações dos usuários em seus endpoints, o que pode tornar mais fácil identificar padrões de comportamento suspeito em vários dispositivos.

As organizações usam as ferramentas de IAM para controlar quais usuários podem acessar quais recursos. Conforme mencionado anteriormente, a integração de ferramentas de UBA com sistemas de IAM permite que as organizações criem processos de autenticação adaptativa inteligentes que fortalecem os requisitos de autenticação à medida que a pontuação de risco do usuário cresce.