Compreendendo a UEBA e seu papel na resposta a incidentes

As violações de segurança têm se tornado cada vez mais comuns no mundo digital. A UEBA ajuda as organizações a detectar e responder a esses incidentes.

O User Behavior Analytics (UEBA) era conhecido anteriormente como User Behavior Analytics (UBA). É uma solução de segurança cibernética que usa análises para obter uma compreensão de como os usuários (humanos) e entidades (dispositivos e servidores em rede) em uma organização normalmente se comportam para detectar e responder a atividades anômalas em tempo real.

A UEBA pode identificar e alertar analistas de segurança sobre variações de risco e comportamento suspeito que podem indicar:

• Movimento lateral
• Abuso de conta privilegiada
• Escalonamento de privilégios
• Compromisso de credencial ou
• Ameaças internas

A UEBA também avalia o nível de ameaça e fornece uma pontuação de risco que pode ajudar a estabelecer uma resposta apropriada.

Continue lendo para aprender sobre como a UEBA funciona, por que as organizações estão mudando para a UEBA, os principais componentes da UEBA, o papel da UEBA na resposta a incidentes e as melhores práticas da UEBA.

Como funciona o User and Entity Behavior Analytics?

A análise de comportamento de usuários e entidades primeiro coleta informações sobre o comportamento esperado das pessoas e máquinas em sua organização a partir de repositórios de dados, como um data lake, um data warehouse ou por meio de SIEM.

A UEBA então usa abordagens analíticas avançadas para processar essas informações para determinar e definir ainda mais uma linha de base de padrões de comportamento: de onde um funcionário faz login, seu nível de privilégio, arquivos, servidores que eles costumam acessar, hora e frequência de acesso e dispositivos que usam para Acesso.

O UEBA monitora continuamente as atividades do usuário e da entidade, compara-as ao comportamento da linha de base e decide quais ações podem resultar em um ataque.

O UEBA pode saber quando um usuário está realizando suas atividades normais e quando um ataque está acontecendo. Embora um hacker possa acessar os detalhes de login de um funcionário, ele não conseguirá imitar suas atividades e comportamento normais.

Uma solução UEBA tem três componentes principais:

Análise de dados: a UEBA coleta e organiza dados de usuários e entidades para construir um perfil padrão de como cada usuário age normalmente. Modelos estatísticos são então formulados e aplicados para detectar atividades anômalas e alertar a equipe de segurança.

Integração de dados: para tornar o sistema mais resiliente, o UEBA compara os dados obtidos de várias fontes - como logs do sistema, dados de captura de pacotes e outros conjuntos de dados - com os dados coletados dos sistemas de segurança existentes.

Apresentação de dados: Processo pelo qual o sistema UEBA comunica suas descobertas e a resposta apropriada. Esse processo normalmente envolve a emissão de uma solicitação para que os analistas de segurança investiguem um comportamento incomum.

O papel da UEBA na resposta a incidentes

A análise de comportamento de usuários e entidades usa aprendizado de máquina e aprendizado profundo para monitorar e analisar o comportamento usual de humanos e máquinas em sua organização.

Se houver um desvio do padrão regular, o sistema UEBA o detecta e realiza uma análise que determina se o comportamento incomum representa uma ameaça real ou não.

A UEBA ingere dados de diferentes fontes de log, como banco de dados, Windows AD, VPN, proxy, badge, arquivos e endpoints para realizar essa análise. Usando essas entradas e o comportamento aprendido, o UEBA pode fundir as informações para formar uma pontuação final para classificação de risco e enviar um relatório detalhado para os analistas de segurança.

Por exemplo, UEBA pode olhar para um funcionário entrando pela VPN da África pela primeira vez. Só porque o comportamento do funcionário é anormal não significa que seja uma ameaça; o usuário pode simplesmente estar viajando. No entanto, se o mesmo funcionário do departamento de recursos humanos acessar repentinamente a sub-rede de finanças, a UEBA reconhecerá as atividades do funcionário como suspeitas e alertará a equipe de segurança.

Aqui está outro cenário relacionável.

Harry, um funcionário do Hospital Mount Sinai, em Nova York, está desesperado por dinheiro. Nesse dia em particular, Harry espera que todos saiam do consultório e, em seguida, baixa as informações confidenciais dos pacientes para um dispositivo USB às 19h. Ele pretende vender os dados roubados no mercado negro por um dólar alto.

Felizmente, o Mount Sinai Hospital utiliza uma solução UEBA, que monitora o comportamento de cada usuário e entidade na rede do hospital.

Embora Harry tenha permissão para acessar as informações do paciente, o sistema UEBA aumenta sua pontuação de risco quando detecta um desvio de suas atividades habituais, que normalmente envolvem a visualização, criação e edição de registros do paciente entre 9h e 17h.

Quando Harry tenta acessar as informações às 19h, o sistema identifica o padrão e as irregularidades de tempo e atribui uma pontuação de risco.

Você pode configurar seu sistema UEBA para implicar em criar um alerta para a equipe de segurança sugerir investigações adicionais ou pode configurá-lo para tomar medidas imediatas, como desligar automaticamente a conectividade de rede para aquele funcionário devido à suspeita de ataque cibernético.

Eu preciso de uma solução UEBA?

Uma solução UEBA é essencial para as organizações porque os hackers estão realizando ataques mais sofisticados que estão se tornando cada vez mais difíceis de detectar. Isso é especialmente verdadeiro nos casos em que a ameaça vem de dentro.

De acordo com estatísticas recentes de cibersegurança, mais de 34% das empresas são afetadas por ameaças internas em todo o mundo. Além disso, 85% das empresas dizem que é difícil quantificar o custo real de um ataque interno.

Como resultado, as equipes de segurança estão mudando para abordagens mais recentes de detecção e resposta a incidentes (IR). Para equilibrar e aumentar seus sistemas de segurança, os analistas de segurança estão mesclando tecnologias como análise de comportamento de usuário e entidade (UEBA) com SIEMs convencionais e outros sistemas de prevenção legados.

A UEBA oferece um sistema de detecção de ameaças internas mais poderoso em comparação com outras soluções de segurança tradicionais. Ele monitora não apenas o comportamento humano anômalo, mas também os movimentos laterais suspeitos. A UEBA também rastreia atividades em seus serviços em nuvem, dispositivos móveis e dispositivos da Internet das Coisas.

Um sistema UEBA sofisticado ingere dados de todas as fontes de log diferentes e cria um relatório detalhado do ataque para seus analistas de segurança. Isso economiza o tempo gasto pela equipe de segurança examinando inúmeros registros para determinar o dano real devido a um ataque.

Aqui estão alguns dos muitos casos de uso da UEBA.

6 principais casos de uso da UEBA

# 1 . UEBA detecta abuso de privilégio interno quando os usuários realizam atividades arriscadas fora do comportamento normal estabelecido.

# 2. A UEBA funde informações suspeitas de diferentes fontes para criar uma pontuação de risco para classificação de risco.

# 3. A UEBA realiza a priorização de incidentes reduzindo falsos positivos. Ele elimina a fadiga dos alertas e possibilita que as equipes de segurança se concentrem em alertas de alto risco.

# 4. O UEBA evita a perda de dados e exfiltração de dados porque o sistema envia alertas quando detecta dados confidenciais sendo movidos dentro da rede ou transferidos para fora da rede.

# 5 . UEBA ajuda a detectar movimento lateral de hackers dentro da rede que podem ter roubado credenciais de login de funcionários.

# 6. A UEBA também fornece respostas automatizadas a incidentes, permitindo que as equipes de segurança respondam aos incidentes de segurança em tempo real.

Como a UEBA melhora o UBA e os sistemas de segurança legados, como o SIEM

A UEBA não substitui outros sistemas de segurança, mas representa uma melhoria significativa usada junto com outras soluções para uma segurança cibernética mais eficaz. A UEBA difere da análise de comportamento do usuário (UBA) porque a UEBA inclui “Entidades” e “Eventos”, como servidores, roteadores e terminais.

Uma solução UEBA é mais abrangente do que UBA porque monitora processos não humanos e entidades de máquina para identificar ameaças com mais precisão.

SIEM significa segurança da informação e gerenciamento de eventos. O SIEM legado tradicional pode não ser capaz de detectar ameaças sofisticadas por si só porque não foi projetado para monitorar ameaças em tempo real. E considerando que os hackers geralmente evitam ataques únicos e simples e, em vez disso, se envolvem em uma cadeia de ataques sofisticados, eles podem passar despercebidos pelas ferramentas tradicionais de detecção de ameaças, como o SIEM, por semanas ou até meses.

Uma solução sofisticada de UEBA aborda essa limitação. Os sistemas UEBA analisam os dados armazenados pelo SIEM e trabalham juntos para monitorar as ameaças em tempo real, permitindo que você responda às violações com rapidez e sem esforço.

Portanto, ao combinar as ferramentas UEBA e SIEM, as organizações podem ser muito mais eficazes na detecção e análise de ameaças, lidar com vulnerabilidades rapidamente e evitar ataques.

Práticas recomendadas de User and Entity Behavior Analytics

Aqui estão cinco práticas recomendadas para análise do comportamento do usuário que fornecem informações sobre o que fazer ao construir uma linha de base para o comportamento do usuário.

# 1. Definir casos de uso

Defina os casos de uso que você deseja que sua solução UEBA identifique. Isso pode ser a detecção de abuso de conta privilegiada, comprometimento de credencial ou ameaças internas. Definir casos de uso ajuda a determinar quais dados coletar para monitoramento.

# 2. Definir fontes de dados

Quanto mais tipos de dados seus sistemas UEBA puderem manipular, mais precisa será a linha de base. Algumas fontes de dados incluem logs do sistema ou dados de recursos humanos, como histórico de desempenho do funcionário.

# 3. Defina comportamentos sobre quais dados serão coletados

Isso pode incluir o horário de trabalho dos funcionários, aplicativos e dispositivos que eles acessam com frequência e ritmos de digitação. Com esses dados disponíveis, você pode entender melhor as possíveis razões para falsos positivos.

# 4. Defina uma duração para estabelecer a linha de base

Ao determinar a duração do período de sua linha de base, é essencial considerar as metas de segurança de seu negócio e as atividades dos usuários.

O período de linha de base não deve ser muito curto ou muito longo. Isso ocorre porque você pode não conseguir coletar as informações corretas se encerrar a duração da linha de base muito rápido, resultando em uma alta taxa de falsos positivos. Por outro lado, algumas atividades maliciosas podem ser consideradas normais se você demorar muito para coletar as informações de linha de base.

# 5. Atualize seus dados de linha de base regularmente

Você pode precisar reconstruir seus dados de linha de base regularmente porque as atividades do usuário e da entidade mudam o tempo todo. Um funcionário pode ser promovido e alterar suas tarefas e projetos, nível de privilégio e atividades. Os sistemas UEBA podem ser configurados automaticamente para coletar dados e ajustar os dados de linha de base quando as mudanças acontecem.

Palavras Finais

À medida que dependemos cada vez mais da tecnologia, as ameaças à segurança cibernética se tornam mais complexas. Uma grande empresa deve proteger seus sistemas que contêm dados confidenciais próprios e de seus clientes para evitar violações de segurança em grande escala. A UEBA oferece um sistema de resposta a incidentes em tempo real que pode prevenir ataques.