User and entity behavior analytics (UEBA): como funciona?
Cada vez mais sofisticados e volumosos, os ataques cibernéticos trazem muitos desafios porque estão programados para navegar por uma rede, comprometer seus acessos e extrair dados sem sequer serem percebidos. Mas um ponto em comum entre as várias formas de cibercrime é a mudança repentina no comportamento de usuários ou de entidades que compõem essa rede.
Toda mudança de comportamento não prevista pode ser um indício de dano causado por uma ameaça potencial ou já em avanço ao ambiente.
Desse modo, ser capaz de explorar esses comportamentos, identificando possíveis mudanças, torna-se fundamental em segurança. É o que se chama de user and entity behavior analytics (UEBA), ou seja, análise do comportamento de usuários e de entidades.
Embora o conceito de análise de comportamento seja amplamente usado, as ferramentas de UEBA, no entanto, são relativamente recentes. Elas podem vir separadas ou embarcadas em ferramentas como SIEM.
Neste artigo, vamos trazer uma visão inicial sobre essas ferramentas.
O que é UEBA e onde pode ser usada?
A análise de comportamento de usuários e entidades (UEBA) é uma ferramenta para interpretação de dados de uma rede em tempo real, usando técnicas de machine learning, com vistas à identificação e resolução proativa de ataques em andamento.
Com elas, equipes de segurança conseguem fazer análises de comportamento em vários componentes conectados de uma empresa: usuários, dispositivos e aplicações.
Elas proporcionam:
- Insights em tempo real
- Dashboards para visualização dos dados
- Relatórios para auditorias de segurança
- Alertas
- Recomendações de melhoria em segurança.
UEBA vs. UBA
UEBA e UBA são sinônimos, embora o primeiro seja mais comum. Porém, o conceito de “entidades” foi adicionado posteriormente, pelo Gartner, para englobar dispositivos, contas e outros ativos que podem revelar anomalias.
A maioria das ferramentas que se denominam UBA, no entanto, atendem também entidades, de maneira que os termos são intercambiáveis.
Como funcionam as ferramentas de UEBA
As ferramentas de UEBA coletam dados de diversas fontes, como logs de identidade, logs de dispositivos, logs DNS, logs de aplicação e registros de acesso.
A análise dos dados é feita por meio de algoritmos de machine learning capazes de identificar os padrões normais de comportamento, de modo que a ferramenta estabelece uma base de comportamento.
Com isso, quaisquer anomalias que desviem a norma em entidades e usuários podem ser reveladas por comparação a esse comportamento passado, mesmo quando elas ocorrem em baixa frequência ou em longos períodos de tempo.
Essas anomalias são sequenciadas e correlacionadas, revelando cadeias de atividades maliciosas, cujos vários eventos revelam o caminho e o comportamento de um invasor.
Subsequentemente elas recebem um score que indica a intensidade da ameaça em questão, com base no que é enviado ao time de segurança por meio de recursos de notificação.
Casos de uso da UEBA
- Acessos a contas a partir de dispositivos e navegadores diferentes ou em outra região geográfica
- Múltiplas tentativas de acesso a uma conta
- Mudanças ou comprometimento de credenciais de acesso
- Tentativa de acesso de um usuário sem permissão a uma conta privilegiada
- Downloads atípicos, como de grandes volumes de dados ou de dados incomuns
- Transferências incomuns de dados
- Uso de comandos incomuns
- Aumento súbito de requisições de uma aplicação.
Players de mercado
- Splunk User Behavior Analytics
- Darktrace
- Cynet
- ExabeamFusion SIEM
- IBM QRadar Advisor with Watson
- SentinelOne
- Securonix UEBA
- ManageEngine Log360
- Microsoft Defender for Identity
- One Identity Safeguard
- Rapid7 InsightIDR
- LogRhythm UEBA
- Varonis Data Security Platform etc.
- Forcepoint
- Gurucul.
UEBA e outras soluções baseadas em behaviour analytics
A URBA não é a única solução de mercado baseada em análise de comportamento. Além dela, você pode conhecer:
- Network behavior analytics (NBA): essa ferramenta é focada no monitoramento do tráfego de rede a fim de detectar comportamentos inesperados.
- Insiders threat behavior analytics (ITBA): ajuda a identificar maus comportamentos de usuários internos de uma rede, logo de usuários considerados confiáveis.
UEBA e SIEM
Ferramentas UEBA são um componente importantíssimo de qualquer SIEM. Combinar as soluções proporciona uma série de benefícios para a organização. SIEM e UEBA são soluções convergentes, muitas vezes vistas com SOAR.
O principal deles é a provisão de contexto adicional a ameaças conhecidas e desconhecidas. A equipe consegue visualizar uma ampla gama de padrões de comportamentos suspeitos dentro da rede.
Outra vantagem de expandir o SIEM com UEBA é o aprendizado sobre modelos de anomalia baseados em padrões de comportamento que são prioridades para o negócio.
Por fim, uma UEBA junto com SIEM permite a identificação mais precisa e rápida de ameaças. Com a UEBA, o trabalho não é humano, e sim todo da IA.
Dessa forma, a UEBA aumenta a eficiência do SOC.
Considerações para decidir usar UEBA
As organizações que pretendem implementar UEBA devem considerar os seguintes pontos antes de fazer isso, de acordo com a Splunk:
- Verificar a quantidade e tipos de dados comportamentais que têm disponível
- Nível de expertise interna disponível, bem como a capacidade de treinar a equipe de segurança para implementar e manter a UEBA
- Extensão e distribuição da sua rede de usuários, com base no número de locações remotas e mobilidade dos usuários
- Determinar o que a UEBA vai fazer pela organização, estabelecendo uma finalidade clara e específica para a solução.
Complemente seu arsenal de segurança
As organizações estão buscando modernizar seu SIEM. Isso inclui embarcar ou adicionar a UEBA a suas ferramentas de segurança.
Se este passo está nos planos da sua empresa e você precisa de uma segunda opinião, venha falar conosco sobre o seu projeto. Implementamos soluções Splunk em segurança em empresas com operações críticas. Fale conosco, podemos ajudar.
