Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Segurança de Dados

Alguns insighs sobre a Análise de Comportamento de Entidade do Usuário (UEBA)

A Análise de Comportamento de Entidade do Usuário permite comportamentos anormais que podem afetar a segurança de dados
Emilia Bertolli
3 minuto de leitura
Ultima atualização 11 de Fevereiro de 2022

Conteúdo

    A Análise Comportamental de Usuário, ou UBA, era e ainda é o termo usado para descrever padrões de uso que indicam atividades incomuns, independentemente de virem de um hacker, funcionário mal intencionado, malware ou outro processo. Embora o UBA não impeça o acesso a um sistema crítico, ele pode identificar rapidamente a atividade e minimizar os riscos.

    Por que olhar para entidades?


    Há muita coisa acontecendo em relação à Entidade. A ideia chave é que a UEBA amplie o alcance de suas análises para abranger entidades de processos e máquinas. O analista do Gartner, Anton Chuvakin, tem uma boa explicação sobre o UEBA: ele ainda é o UBA, mas está mais aprimorado, com mais contexto de entidades e melhor análise.

    Por que ir além do usuário?


    Muitas vezes, faz sentido não olhar para contas de usuários individuais para detectar comportamentos incomuns. Por exemplo, os hackers podem estar usando vários usuários para iniciar sua pós-exploração – fazendo uma movimentação lateral para outras máquinas.

    O foco não está na conta, mas no nível da máquina, que pode ser identificada por um endereço IP. Em outras palavras, procure por atividades incomuns em que o elemento comum é o endereço IP de uma estação de trabalho.

    Ou, no caso do Windows instalado – regsvr32 ou rundell32 – que os hackers usam em um contexto não considerado normal, a entidade mais lógica a se concentrar é o próprio software.

    Aprendizado de máquina e Análise de Comportamento de Entidade do Usuário


    O guia do Gartner para o UEBA tem alguns insights sobre a UEBA e alguns casos em que seu uso foi apropriado. Como ele destaca, há mais ênfase na UEBA do que na UBA no uso de ciências de dados e aprendizado de máquina para separar atividades normais de pessoas e entidades das anormais.

    O Gartner considera que o UEBA está sendo aplicado para usar em casos que a análise mais precisa e a coleta de mais contexto é essencial, incluindo:

    • Insiders maliciosos
    • Grupos de APT aproveitando vulnerabilidades de dia zero
    • Exfiltração de dados envolvendo novos canais
    • Monitoramento de acesso à conta de usuário

    Como esses casos envolvem uma superfície de ataque mutável, o Gartner observou que o aprendizado de máquina é essencial para estabelecer uma linha de base derivada de “interações entre todos os usuários, sistemas e dados”. Mas, como pesquisadores apontam, não existe uma abordagem única para elaborar essas linhas de base.

    Mesmo os maiores impulsionadores de análises baseadas em aprendizado de máquina dirão que existem limites e podem levar a falsos positivos. Em outras palavras, os algoritmos são tão sensíveis que alertam sobre condições que podem ser incomuns, mas não são anormais e indicativas de um invasor ou funcionário mal intencionado.

    UEBA, dados limpos e modelos de ameaças


    A grande questão para o UEBA é a fonte de dados. É muito difícil basear a análise de segurança no log de eventos brutos do Windows. É um processo complexo, e sujeito a erros, para correlacionar eventos a partir do log do sistema. Além disso, é um recurso intensivo. Existem soluções que pode produzir um resultado relacionado a eventos em arquivos mais limpos.

    Outro problema relacionado aos algoritmos do UEBA, é que eles estão, em certo sentido, começando do zero: precisam ser treinados  por meio de treinamento formal supervisionado ou on-the-fly de maneira semi-supervisionada. Não há nada errado com essa ideia, já que é o modo como o aprendizado de máquina funciona.

    Mas, no mundo da segurança de dados, temos uma grande vantagem, pois sabemos como a maioria dos incidentes mais críticos ocorre.

    Isso é uma coisa boa!


    Não precisamos depender somente das técnicas de aprendizado de máquina para aprender quais os principais fatores que determinam comportamentos anormais. Por exemplo, o movimento lateral, o acesso a credenciais e o escalonamento de privilégios são alguns dos métodos comuns conhecidos de invasores.

    Começar com esses padrões bem compreendidos oferece um grande avanço na organização de dados de eventos. Isso naturalmente leva ao tópico da modelagem de ameaças.

    Varonis e a modelagem de ameaças


    Os modelos de ameaça são as principais características dos ataques organizados em categorias maiores e mais significativas. E é aí que a Varonis pode ajudar.

    Sem qualquer configuração, os modelos de ameaças da Varonis estão prontos. A Varonis usa modelos de ameaça preditiva para analisar automaticamente comportamentos em várias plataforma e alertá-lo para um possível invasor. De infecções do CryptoLocker a contas de serviço comprometidas a funcionários insatisfeitos, nós detectamos e alertamos você sobre todos os tipos de comportamento anormal do usuário.

    Solicite uma demonstração.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Emilia Bertolli
    Emilia Bertolli
    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    por-trás-do-rebranding-da-varonis
    Por trás do rebranding da Varonis
    por-trás-do-rebranding-da-varonis
    Courtney Bernard
    20 de Fevereiro de 2024
    Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    O que é uma avaliação de risco de dados e por que você deve fazer
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    Lexi Croisdale
    12 de Janeiro de 2024
    A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Shane Waterford
    19 de Dezembro de 2023
    Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Guia de migração de dados: sucesso estratégico e práticas recomendadas
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Michael Buckbee
    15 de Dezembro de 2023
    A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento