Compreendendo a UEBA e seu papel na resposta a incidentes

Por
Twittar
Compartilhar
Compartilhar
Pin

As violações de segurança têm se tornado cada vez mais comuns no mundo digital. A UEBA ajuda as organizações a detectar e responder a esses incidentes.

User and Entity Behavior Analytics (UEBA) era anteriormente conhecido como User Behavior Analytics (UBA). É uma solução de segurança cibernética que usa análises para entender como os usuários (humanos) e entidades (dispositivos e servidores em rede) em uma organização normalmente se comportam para detectar e responder a atividades anômalas em tempo real.

A UEBA pode identificar e alertar os analistas de segurança sobre variações de risco e comportamentos suspeitos que podem indicar:

  • Movimento lateral
  • Abuso de conta privilegiada
  • Escalação de privilégio
  • Compromisso de credencial ou
  • Ameaças internas

A UEBA também avalia o nível de ameaça e fornece uma pontuação de risco que pode ajudar a estabelecer uma resposta apropriada.

Continue lendo para saber como o UEBA funciona, por que as organizações estão migrando para o UEBA, os principais componentes do UEBA, o papel do UEBA na resposta a incidentes e as melhores práticas do UEBA.

Como funciona o User and Entity Behavior Analytics?

A análise de comportamento do usuário e da entidade primeiro coleta informações sobre o comportamento esperado das pessoas e máquinas em sua organização a partir de repositórios de dados, como um data lake, um data warehouse ou por meio do SIEM.

A UEBA então usa abordagens de análise avançada para processar essas informações para determinar e definir ainda mais uma linha de base de padrões de comportamento: de onde um funcionário faz login, seu nível de privilégio, arquivos, servidores que acessam com frequência, hora e frequência de acesso e dispositivos que usam para Acesso.

O UEBA monitora continuamente as atividades do usuário e da entidade, compara-as com o comportamento da linha de base e decide quais ações podem resultar em um ataque.

O UEBA pode saber quando um usuário está realizando suas atividades normais e quando um ataque está acontecendo. Embora um hacker possa acessar os detalhes de login de um funcionário, ele não poderá imitar suas atividades e comportamentos regulares.

Uma solução UEBA tem três componentes principais:

Análise de dados: A UEBA coleta e organiza dados de usuários e entidades para construir um perfil padrão de como cada usuário normalmente age. Modelos estatísticos são então formulados e aplicados para detectar atividades anômalas e alertar a equipe de segurança.

Integração de dados: Para tornar o sistema mais resiliente, a UEBA compara dados obtidos de várias fontes – como logs do sistema, dados de captura de pacotes e outros conjuntos de dados – com dados coletados de sistemas de segurança existentes.

  Como personalizar o aplicativo de notícias no seu Apple Watch

Apresentação de dados: Processo pelo qual o sistema UEBA comunica suas descobertas e a resposta apropriada. Esse processo geralmente envolve a emissão de uma solicitação para que os analistas de segurança investiguem o comportamento incomum.

O papel da UEBA na resposta a incidentes

A análise de comportamento de usuários e entidades usa aprendizado de máquina e aprendizado profundo para monitorar e analisar o comportamento usual de humanos e máquinas em sua organização.

Se houver um desvio do padrão regular, o sistema UEBA detecta e faz uma análise que determina se o comportamento incomum representa uma ameaça real ou não.

O UEBA ingere dados de diferentes origens de log, como banco de dados, Windows AD, VPN, proxy, crachá, arquivos e endpoints para realizar essa análise. Usando essas entradas e o comportamento aprendido, a UEBA pode fundir as informações para criar uma pontuação final para a classificação de risco e enviar um relatório detalhado aos analistas de segurança.

Por exemplo, a UEBA pode observar pela primeira vez um funcionário que chega pela VPN da África. Só porque o comportamento do funcionário é anormal não significa que seja uma ameaça; o usuário pode simplesmente estar viajando. No entanto, se o mesmo funcionário do departamento de recursos humanos acessar repentinamente a sub-rede financeira, a UEBA reconhecerá as atividades do funcionário como suspeitas e alertará a equipe de segurança.

Aqui está outro cenário relacionável.

Harry, funcionário do Mount Sinai Hospital, em Nova York, está desesperado por dinheiro. Nesse dia em particular, Harry espera que todos saiam do consultório e baixa as informações confidenciais dos pacientes para um dispositivo USB às 19h. Ele pretende vender os dados roubados no mercado negro por um dólar alto.

Felizmente, o Mount Sinai Hospital utiliza uma solução UEBA, que monitora o comportamento de cada usuário e entidade dentro da rede hospitalar.

Embora Harry tenha permissão para acessar as informações do paciente, o sistema UEBA aumenta sua pontuação de risco quando detecta um desvio de suas atividades habituais, que normalmente envolvem visualizar, criar e editar os registros do paciente entre 9h e 17h.

Quando Harry tenta acessar as informações às 19h, o sistema identifica irregularidades de padrão e de tempo e atribui uma pontuação de risco.

Você pode configurar seu sistema UEBA para simplesmente criar um alerta para a equipe de segurança sugerir uma investigação mais aprofundada ou pode configurá-lo para tomar medidas imediatas, como desligar automaticamente a conectividade de rede para esse funcionário devido à suspeita de ataque cibernético.

Preciso de uma solução UEBA?

Uma solução UEBA é essencial para as organizações porque os hackers estão realizando ataques mais sofisticados e cada vez mais difíceis de detectar. Isso é especialmente verdadeiro nos casos em que a ameaça vem de dentro.

  Você pode precisar do Xbox Live para jogar Warzone?

De acordo com estatísticas recentes de cibersegurança, mais de 34% das empresas são afetadas por ameaças internas em todo o mundo. Além disso, 85% das empresas dizem que é difícil quantificar o custo real de um ataque interno.

Como resultado, as equipes de segurança estão mudando para novas abordagens de detecção e resposta a incidentes (IR). Para equilibrar e aumentar seus sistemas de segurança, os analistas de segurança estão mesclando tecnologias como análise de comportamento de usuário e entidade (UEBA) com SIEMs convencionais e outros sistemas legados de prevenção.

O UEBA fornece um sistema de detecção de ameaças internas mais poderoso em comparação com outras soluções de segurança tradicionais. Ele monitora não apenas o comportamento humano anômalo, mas também movimentos laterais suspeitos. A UEBA também rastreia atividades em seus serviços de nuvem, dispositivos móveis e dispositivos de Internet das Coisas.

Um sofisticado sistema UEBA ingere dados de todas as diferentes origens de log e cria um relatório detalhado do ataque para seus analistas de segurança. Isso economiza o tempo gasto por sua equipe de segurança em incontáveis ​​registros para determinar o dano real devido a um ataque.

Aqui estão alguns dos muitos casos de uso do UEBA.

6 principais casos de uso da UEBA

#1. O UEBA detecta o abuso de privilégio interno quando os usuários executam atividades arriscadas fora do comportamento normal estabelecido.

#2. A UEBA combina informações suspeitas de diferentes fontes para criar uma pontuação de risco para classificação de risco.

#3. A UEBA realiza a priorização de incidentes reduzindo os falsos positivos. Ele elimina a fadiga de alerta e permite que as equipes de segurança se concentrem em alertas de alto risco.

#4. O UEBA evita a perda e exfiltração de dados porque o sistema envia alertas quando detecta dados confidenciais sendo movidos dentro da rede ou transferidos para fora da rede.

#5. O UEBA ajuda a detectar o movimento lateral de hackers dentro da rede que podem ter roubado credenciais de login de funcionários.

#6. A UEBA também fornece respostas automatizadas a incidentes, permitindo que as equipes de segurança respondam a incidentes de segurança em tempo real.

Como o UEBA melhora o UBA e os sistemas de segurança legados, como o SIEM

O UEBA não substitui outros sistemas de segurança, mas representa uma melhoria significativa usada juntamente com outras soluções para uma segurança cibernética mais eficaz. O UEBA difere da análise de comportamento do usuário (UBA) porque o UEBA inclui “Entidades” e “Eventos”, como servidores, roteadores e terminais.

Uma solução UEBA é mais abrangente do que UBA porque monitora processos não humanos e entidades de máquina para identificar ameaças com mais precisão.

SIEM significa informações de segurança e gerenciamento de eventos. O SIEM herdado tradicional pode não ser capaz de detectar ameaças sofisticadas por si só porque não foi projetado para monitorar ameaças em tempo real. E, considerando que os hackers geralmente evitam ataques pontuais simples e, em vez disso, se envolvem em uma cadeia de ataques sofisticados, eles podem passar despercebidos pelas ferramentas tradicionais de detecção de ameaças, como o SIEM, por semanas ou até meses.

  Como ativar cliques automáticos no Chromebook

Uma solução UEBA sofisticada aborda essa limitação. Os sistemas UEBA analisam os dados armazenados pelo SIEM e trabalham juntos para monitorar ameaças em tempo real, permitindo que você responda a violações com rapidez e facilidade.

Portanto, ao mesclar as ferramentas UEBA e SIEM, as organizações podem ser muito mais eficazes na detecção e análise de ameaças, abordar vulnerabilidades rapidamente e evitar ataques.

Práticas recomendadas de User and Entity Behavior Analytics

Aqui estão cinco práticas recomendadas para análise de comportamento do usuário que fornecem informações sobre o que fazer ao criar uma linha de base para o comportamento do usuário.

#1. Definir casos de uso

Defina os casos de uso que você deseja que sua solução UEBA identifique. Isso pode ser a detecção de abuso de contas privilegiadas, comprometimento de credenciais ou ameaças internas. A definição de casos de uso ajuda a determinar quais dados coletar para monitoramento.

#2. Definir fontes de dados

Quanto mais tipos de dados seus sistemas UEBA puderem manipular, mais precisa será a linha de base. Algumas fontes de dados incluem logs do sistema ou dados de recursos humanos, como o histórico de desempenho do funcionário.

#3. Definir comportamentos sobre quais dados serão coletados

Isso pode incluir o horário de trabalho do funcionário, aplicativos e dispositivos que eles acessam com frequência e ritmos de digitação. Com esses dados em vigor, você pode entender melhor os possíveis motivos de falsos positivos.

#4. Defina uma duração para estabelecer a linha de base

Ao determinar a duração do período de linha de base, é essencial considerar as metas de segurança do seu negócio e as atividades dos usuários.

O período de linha de base não deve ser muito curto nem muito longo. Isso ocorre porque você pode não conseguir coletar as informações corretas se encerrar a duração da linha de base muito rapidamente, resultando em uma alta taxa de falsos positivos. Por outro lado, algumas atividades maliciosas podem passar como normais se você demorar muito para coletar as informações básicas.

#5. Atualize seus dados de linha de base regularmente

Você pode precisar reconstruir seus dados de linha de base regularmente porque as atividades do usuário e da entidade mudam o tempo todo. Um funcionário pode ser promovido e mudar suas tarefas e projetos, nível de privilégio e atividades. Os sistemas UEBA podem ser configurados automaticamente para coletar dados e ajustar os dados da linha de base quando ocorrerem alterações.

Palavras Finais

À medida que nos tornamos cada vez mais dependentes da tecnologia, as ameaças à segurança cibernética estão se tornando mais complexas. Uma grande empresa deve proteger seus sistemas que armazenam dados confidenciais próprios e de seus clientes para evitar violações de segurança em larga escala. A UEBA oferece um sistema de resposta a incidentes em tempo real que pode prevenir ataques.