Varonis | Segurança de dentro para fora

Brasil: Ransomware coloca o país entre a lista dos 10 mais afetados no mundo | Varonis

Escrito por Emilia Bertolli | Oct 27, 2020 12:01:45 AM

O Brasil sofreu em 2020 mais de 3,8 milhões de ataques de ransomware, ficando somente atrás dos Estados Unidos, África do Sul, Itália, Reino Unido, Bélgica, México, Holanda e Canadá. O número exponencial de ataques foi impulsionado, claro, pelo home office – que fez com que as empresas movessem suas operações rapidamente – e sem as ferramentas necessárias para garantir a proteção efetiva. 

Os dados fazem parte de um relatório da SonicWall divulgado no início de março de 2021. Com o Brasil na mira dos criminosos, novas tecnologias e abordagens precisam ser analisadas como uma alternativa viável – e uma das mais importantes delas é o UBA – User Behavior Analytics. 

Como funciona o UBA? 

Ao contrário de firewalls e software antivírus, o User Behavior Analytics ou UBA  concentra-se no que o usuário está fazendo: aplicativos iniciados, atividade de rede e, mais criticamente, arquivos acessados ​​(quando o arquivo ou e-mail foi tocado, quem o tocou, o que foi feito com e com que frequência). 

A tecnologia UBA busca padrões de uso que indiquem comportamento incomum ou anômalo — independentemente de as atividades virem de um hacker, terem sido geradas internamente, ou mesmo que a origem seja um malware. Embora o UBA não impeça que hackers ou usuários internos entrem em seu sistema, a tecnologia pode detectar rapidamente o trabalho deles e minimizar os danos. 

Os sistemas tradicionais de prevenção e detecção que protegem contra ameaças externas são amplamente ineficazes na detecção e na detecção de ameaças internas. Muitas vezes, esses sistemas são preparados para procurar indicadores de comprometimento (IoCs) que um insider simplesmente não precisa usar, como tentativas de login excessivas, irregularidades geográficas, tráfego da web com comportamento não humano ou qualquer outra tática, técnicas e procedimentos (TTPs) indicativos de ataques externos. 

O indicador mais proeminente de um ataque interno é o abuso de privilégios –fazer coisas que o funcionário não tem permissão legítima para fazer. A detecção desse comportamento requer ferramentas que examinam as ações dos usuários –especialmente aquelas pessoas com permissões elevadas, como administradores de sistemas, gerentes e executivos –e procuram comportamentos que estão fora da faixa de atividades permitidas e normais.  

Uma ferramenta UBA coleta dados anteriores e atuais, como atividades de usuários e entidades, funções e grupos de usuários e acesso a contas e permissões de serviços de diretório. A partir desses e de outros dados, a ferramenta estabelece uma linha de base das atividades normais para indivíduos e seus grupos de pares. Em seguida, big data e aprendizado de máquina são usados ​​para destacar os desvios dessas linhas de base.  

Modelos de ameaças UBA da Varonis 

Os modelos de ameaças Varonis UBA descobrem problemas de segurança rapidamente e fornecem contexto sobre metadados e o que realmente está acontecendo em seus servidores de arquivo e email, SharePoint e Active Directory. 

Os alertas comportamentais avançados da Varonis detectam atividades suspeitas em todos os estágios de uma possível violação de dados: do reconhecimento inicial à exfiltração de dados. Veja alguns comportamentos anormais que podem ocorrer – e que são detectados pela tecnologia UBA da Varonis: 

Exfiltração 

Acesso a dados confidenciais 

Pode indicar uma tentativa não autorizada de obter acesso a ativos de dados confidenciais. As ações do usuário são comparadas ao seu perfil comportamental e um alerta é criado quando um desvio é descoberto. 

Acesso a caixas de correio atípicas 

Pode indicar uma tentativa não autorizada de explorar os privilégios do serviço para obter acesso aos ativos de dados. As ações do usuário são comparadas ao seu perfil comportamental e um alerta é criado quando um desvio é descoberto. 

Intrusão 

Intrusão de criptografia 

Pode indicar a presença de Ransomware. 

Exploits 

Modificação de GPOs críticos 

Pode indicar tentativas não autorizadas de obter acesso por meio da alteração de políticas ou do uso de grupos privilegiados. Também pode indicar tentativas de negar o acesso dos usuários aos sistemas, especialmente se realizado sem levar em conta os processos de controle de mudança estabelecidos. 

Exploits na rede 

Indicando tentativas de hacking já conhecidas. 

Mudanças de permissionamento 

Pode indicar tentativa não autorizada de obter acesso por meio de grupos privilegiados ou impedir que os administradores respondam ao ataque, especialmente se realizado fora dos processos de controle de alterações estabelecidos. 

Conta administrativa ou de serviço desativada ou excluída 

Pode indicar uma tentativa não autorizada de danificar a infraestrutura, negar aos usuários o acesso aos sistemas ou ofuscar, especialmente se realizada fora dos processos de controle de alterações estabelecidos. 

Escalonamento de Privilégios 

Acesso de não administrador a arquivos contendo credenciais 

Tentativa não autorizada de extrair credenciais ou negar acesso aos sistemas. 

Vários eventos abertos em arquivos que provavelmente contêm credenciais 

Pode indicar uma tentativa não autorizada de extrair credenciais. 

Reconhecimento 

Uso de Ferramentas para varredura 

Pode indicar a presença não autorizada de ferramentas de reconhecimento que podem ser usadas para fazer a varredura da rede corporativa ou para pesquisar vulnerabilidades. 

Sem qualquer configuração, os modelos de ameaça Varonis UBA detectam os sinais de atividade de ransomware – quando os arquivos estão sendo criptografados — e, portanto, podem parar esses ataques sem ter que confiar em uma lista estática de assinaturas. 

Uma vez detectado, uma combinação de etapas automatizadas pode ser acionada para evitar que a infecção se espalhe: por exemplo, desabilitar o usuário infectado, o computador infectado, as unidades de rede na máquina infectada ou NICs. 

Saiba mais como os modelos de ameaças podem ajudar a sua empresa a se antecipar às ameaças potenciais atuais – agende uma demo aqui.