Alguns insighs sobre a Análise de Comportamento de Entidade do Usuário (UEBA)

A Análise de Comportamento de Entidade do Usuário permite comportamentos anormais que podem afetar a segurança de dados
Emilia Bertolli
3 minuto de leitura
Ultima atualização 11 de Fevereiro de 2022

A Análise Comportamental de Usuário, ou UBA, era e ainda é o termo usado para descrever padrões de uso que indicam atividades incomuns, independentemente de virem de um hacker, funcionário mal intencionado, malware ou outro processo. Embora o UBA não impeça o acesso a um sistema crítico, ele pode identificar rapidamente a atividade e minimizar os riscos.

Por que olhar para entidades?


Há muita coisa acontecendo em relação à Entidade. A ideia chave é que a UEBA amplie o alcance de suas análises para abranger entidades de processos e máquinas. O analista do Gartner, Anton Chuvakin, tem uma boa explicação sobre o UEBA: ele ainda é o UBA, mas está mais aprimorado, com mais contexto de entidades e melhor análise.

Por que ir além do usuário?


Muitas vezes, faz sentido não olhar para contas de usuários individuais para detectar comportamentos incomuns. Por exemplo, os hackers podem estar usando vários usuários para iniciar sua pós-exploração – fazendo uma movimentação lateral para outras máquinas.

O foco não está na conta, mas no nível da máquina, que pode ser identificada por um endereço IP. Em outras palavras, procure por atividades incomuns em que o elemento comum é o endereço IP de uma estação de trabalho.

Ou, no caso do Windows instalado – regsvr32 ou rundell32 – que os hackers usam em um contexto não considerado normal, a entidade mais lógica a se concentrar é o próprio software.

Aprendizado de máquina e Análise de Comportamento de Entidade do Usuário


O guia do Gartner para o UEBA tem alguns insights sobre a UEBA e alguns casos em que seu uso foi apropriado. Como ele destaca, há mais ênfase na UEBA do que na UBA no uso de ciências de dados e aprendizado de máquina para separar atividades normais de pessoas e entidades das anormais.

O Gartner considera que o UEBA está sendo aplicado para usar em casos que a análise mais precisa e a coleta de mais contexto é essencial, incluindo:

  • Insiders maliciosos
  • Grupos de APT aproveitando vulnerabilidades de dia zero
  • Exfiltração de dados envolvendo novos canais
  • Monitoramento de acesso à conta de usuário

Como esses casos envolvem uma superfície de ataque mutável, o Gartner observou que o aprendizado de máquina é essencial para estabelecer uma linha de base derivada de “interações entre todos os usuários, sistemas e dados”. Mas, como pesquisadores apontam, não existe uma abordagem única para elaborar essas linhas de base.

Mesmo os maiores impulsionadores de análises baseadas em aprendizado de máquina dirão que existem limites e podem levar a falsos positivos. Em outras palavras, os algoritmos são tão sensíveis que alertam sobre condições que podem ser incomuns, mas não são anormais e indicativas de um invasor ou funcionário mal intencionado.

UEBA, dados limpos e modelos de ameaças


A grande questão para o UEBA é a fonte de dados. É muito difícil basear a análise de segurança no log de eventos brutos do Windows. É um processo complexo, e sujeito a erros, para correlacionar eventos a partir do log do sistema. Além disso, é um recurso intensivo. Existem soluções que pode produzir um resultado relacionado a eventos em arquivos mais limpos.

Outro problema relacionado aos algoritmos do UEBA, é que eles estão, em certo sentido, começando do zero: precisam ser treinados  por meio de treinamento formal supervisionado ou on-the-fly de maneira semi-supervisionada. Não há nada errado com essa ideia, já que é o modo como o aprendizado de máquina funciona.

Mas, no mundo da segurança de dados, temos uma grande vantagem, pois sabemos como a maioria dos incidentes mais críticos ocorre.

Isso é uma coisa boa!


Não precisamos depender somente das técnicas de aprendizado de máquina para aprender quais os principais fatores que determinam comportamentos anormais. Por exemplo, o movimento lateral, o acesso a credenciais e o escalonamento de privilégios são alguns dos métodos comuns conhecidos de invasores.

Começar com esses padrões bem compreendidos oferece um grande avanço na organização de dados de eventos. Isso naturalmente leva ao tópico da modelagem de ameaças.

Varonis e a modelagem de ameaças


Os modelos de ameaça são as principais características dos ataques organizados em categorias maiores e mais significativas. E é aí que a Varonis pode ajudar.

Sem qualquer configuração, os modelos de ameaças da Varonis estão prontos. A Varonis usa modelos de ameaça preditiva para analisar automaticamente comportamentos em várias plataforma e alertá-lo para um possível invasor. De infecções do CryptoLocker a contas de serviço comprometidas a funcionários insatisfeitos, nós detectamos e alertamos você sobre todos os tipos de comportamento anormal do usuário.

Solicite uma demonstração.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

a-importância-de-entender-o-comportamento-do-usuário-para-evitar-ataques
A importância de entender o comportamento do usuário para evitar ataques
A análise de comportamento do usuário (UBA) ajuda a entender esse comportamento e prever possíveis ataques de hackers
uma-abordagem-prática-de-software-para-ameaças-internas
Uma abordagem prática de software para ameaças internas
Com o UBA é possível detecta e prever comportamentos anormais dos usuários e, assim, evitar problemas com roubo de dados
como-uba-e-ueba-colocam-em-evidência-ameaças-ocultas
Como UBA e UEBA colocam em evidência ameaças ocultas
User Behavior Analytics (UBA) é uma tecnologia existente em algumas soluções de segurança da informação, como as da Varonis, e que analisam o comportamento do usuário em redes e em outros sistemas de computador. O UBA se concentra em quem, o quê, quando e onde a atividade do usuário: quais aplicativos foram iniciados, atividade de rede, quem acessou quais arquivos, etc.   A…
usuário-é-o-maior-perigo-para-a-cibersegurança
Usuário é o maior perigo para a cibersegurança
O maior desafio para a cibersegurança é o comportamento do usuário.