O que é UEBA? Descubra agora!
A análise de comportamento de usuários e entidades (UEBA) é uma solução de segurança cibernética que usa algoritmos e aprendizado de máquina para detectar anomalias no comportamento não apenas dos usuários de uma rede corporativa, mas também dos roteadores, servidores e endpoints dessa rede.
A UEBA busca reconhecer qualquer comportamento peculiar ou suspeito – casos em que há irregularidades em relação aos padrões ou ao uso normal do dia a dia. Por exemplo, se um determinado usuário da rede baixar regularmente arquivos de 20 MB todos os dias, mas começar a baixar 4 GB de arquivos, o sistema UEBA considerará isso uma anomalia e alertará o administrador de TI ou, se houver automação, desconectará automaticamente esse usuário da rede.
O UEBA vai além do simples monitoramento do comportamento humano – ele monitora as máquinas. Um servidor em uma filial pode, de repente, receber milhares de solicitações a mais do que o normal em um dia, sinalizando o início de um possível ataque de negação de serviço distribuído (DDoS). Há uma chance de os administradores de TI não perceberem esse tipo de atividade, mas a UEBA a reconheceria e tomaria medidas adicionais.
Como funciona o UEBA
Para que uma solução UEBA seja eficaz, ela deve ser instalada em todos os dispositivos usados ou conectados a todos os funcionários da organização. Isso inclui dispositivos que não sejam apenas de propriedade da empresa, mas também do funcionário, pois até mesmo os dispositivos usados em meio período podem ser alvos de um ataque cibernético. Algumas organizações também podem solicitar que os funcionários instalem a solução UEBA em seus roteadores domésticos, que podem servir como vetores de ameaças. A conexão com a rede corporativa por meio de um roteador doméstico abre possibilidades adicionais para um ataque cibernético.
A solução UEBA fica “silenciosa” quando começa a coletar dados sobre o uso do dispositivo e da rede. No modo de aprendizado, os algoritmos da solução UEBA determinarão e definirão melhor o que é considerado normal ou até mesmo ideal. Os administradores de TI podem decidir quanto tempo o modo de aprendizagem durará antes de o sistema entrar no modo de teste.
Há três componentes principais de uma solução UEBA:
- O Analytics coleta e organiza dados sobre o que determina ser o comportamento normal de usuários e entidades. O sistema cria perfis de como cada um normalmente age em relação ao uso de aplicativos, à atividade de comunicação e download e à conectividade de rede. Em seguida, modelos estatísticos são formulados e aplicados para detectar comportamentos incomuns.
- A integração com outros produtos e sistemas de segurança já existentes é uma necessidade à medida que as organizações crescem e evoluem. Elas provavelmente já têm uma pilha de segurança, que pode incluir sistemas legados que talvez não acompanhem o cenário de ameaças cada vez maior de hoje. A vantagem do UEBA é que ele não se destina a substituir os produtos de segurança existentes em uso na empresa. Com a integração adequada, os sistemas UEBA podem comparar dados coletados de várias fontes, inclusive registros, dados de captura de pacotes e outros conjuntos de dados, e integrá-los para tornar o sistema mais robusto.
Apresentação é o processo de comunicação das descobertas do sistema UEBA e de elaboração de uma resposta adequada. Isso pode variar entre as organizações. Alguns sistemas UEBA simplesmente criam um alerta, seja para o funcionário ou para o administrador de TI, para sugerir uma investigação mais aprofundada. Outros sistemas UEBA são configurados para tomar medidas imediatas, por exemplo, desligando automaticamente a conectividade de rede do funcionário devido a uma suspeita de ataque cibernético.
Benefícios do UEBA: Por que as empresas precisam dele
O aumento da UEBA foi impulsionado pelo fato de que os produtos de segurança tradicionais, como gateways da Web, firewalls, ferramentas de detecção e prevenção de intrusões e produtos de criptografia, como redes privadas virtuais (VPNs), não são mais capazes de proteger uma organização contra intrusões. Os ciberatacantes sofisticados encontrarão uma maneira de entrar em um sistema de alguma forma, e a detecção, mesmo da menor anomalia, é crucial.
A engenharia social e o phishing também estão em alta. Essas estratégias não atacam o hardware de uma organização, mas sim seu pessoal, convencendo os funcionários a clicar em links, fazer download de software e enviar senhas. A infecção de um computador é apenas o início de um ataque cibernético potencialmente em grande escala. A UEBA procura detectar até mesmo os menores comportamentos incomuns e evitar que um pequeno esquema de phishing se transforme em uma violação maciça de dados.
De fato, o UEBA pode ter um impacto enorme na postura de segurança de uma organização. Vamos dar uma olhada mais de perto nos benefícios do UEBA e por que as empresas precisam considerar adotá-lo.
1. Aborda uma gama mais ampla de ataques cibernéticos
O principal benefício do UEBA é que ele permite que as empresas detectem uma gama muito maior de ameaças cibernéticas. Ataques de força bruta, DDoS, ameaças internas e contas comprometidas são apenas algumas das categorias de ameaças que o UEBA pode detectar.
Isso é possível porque o sistema UEBA está monitorando não apenas a atividade humana nos dispositivos, mas também os próprios dispositivos, inclusive servidores, roteadores, endpoints e dispositivos de Internet das Coisas (IoT). Os ataques cibernéticos cresceram em amplitude e sofisticação, e os invasores mal-intencionados podem achar mais vantajoso simplesmente comprometer um dispositivo em vez de extrair senhas de um usuário humano.
Como o uso de dispositivos continua a aumentar – pode haver menos impressoras ou aparelhos de fax em uso -, os funcionários provavelmente estão usando pelo menos um laptop e um smartphone para realizar tarefas relacionadas ao trabalho. Isso incentivou os agentes mal-intencionados a visar os dispositivos, pois o número de vetores de ameaças aumentou exponencialmente.
2. Requer menos analistas de TI
Como acontece com qualquer aplicativo corporativo que aproveita o aprendizado de máquina e a inteligência artificial, o software substitui o tempo e o esforço dos funcionários que normalmente estariam fazendo o trabalho. Essa perspectiva pode entusiasmar muitas organizações, enquanto os profissionais de TI podem recuar, mas o avanço das soluções UEBA não levará a uma redução drástica do número de funcionários. Isso ocorre por dois motivos:
1. Organizações maiores com requisitos de segurança complexos, como corporações multinacionais e governos, reconhecem a necessidade de uma equipe de TI e de analistas de segurança adicionais para instalar, configurar e gerenciar o sistema, além de se comunicar regularmente com os funcionários. Além disso, se a organização decidir não incorporar recursos de resposta automatizada, preferindo investigar o comportamento incomum antes de agir, será necessário enviar mais analistas de segurança ao local do funcionário ou do hardware.
2. Se uma organização decidir que precisa de menos analistas de syslog de TI depois que o sistema UEBA estiver no piloto automático, a empresa poderá desviar esses membros da equipe para outros projetos de maior valor que possam ser mais críticos para a missão.
3. Redução de custos
Além do ponto anterior, se uma organização precisar agora de menos analistas para fazer o trabalho que o sistema UEBA está realizando, haverá uma redução nos gastos com TI. Entretanto, conforme indicado, isso não significa que toda a equipe de analistas de segurança precise ser dispensada quando o sistema estiver em funcionamento. O aprendizado de máquina em qualquer ambiente ainda requer intervenção humana.
Além disso, impedir um ataque de ransomware em seu caminho pode ser considerado uma espécie de economia de custos. A UEBA teria evitado que a empresa pagasse aos ciberatacantes para restaurar um sistema ou perdesse dinheiro nas horas ou dias de produtividade perdida porque um ataque de malware tornou um servidor indisponível.
4. Diminui o risco
Esse é o principal benefício do sistema UEBA. As medidas preventivas na forma de produtos de segurança em silos só vão até certo ponto. As organizações de hoje enfrentam uma série de ameaças crescentes, que se tornaram cada vez mais difíceis de impedir com a proliferação de dispositivos e locais. Com o fechamento dos escritórios, os funcionários trabalham em casa usando vários dispositivos conectados a roteadores que acessam a Internet pública.
A solução UEBA não só pode ser baixada nos dispositivos domésticos dos funcionários, como também pode ser usada com dispositivos robustos e de IoT colocados em ambientes tão diversos como varejistas, armazéns e hospitais. Qualquer dispositivo conectado a uma rede corporativa pode ser vulnerável a um ataque cibernético. É impossível para uma equipe de TI, não importa o tamanho, rastrear fisicamente todos os dispositivos em uso, e o UEBA elimina grande parte desse trabalho.
É importante observar que a UEBA pode ser usada não apenas para detecção de ameaças, mas também para conformidade. Os setores regulamentados, como o de serviços financeiros e de saúde, têm padrões de segurança que as empresas devem cumprir. Embora as ferramentas simples e cotidianas de monitoramento de rede possam determinar se o software foi atualizado com os patches de segurança mais recentes, o UEBA vai muito além.
A detecção de anomalias de comportamento pode permitir que a equipe de TI determine, por exemplo, que um roteador não foi configurado com a configuração de segurança mais forte, de acordo com o padrão do setor. Isso pode permitir que a equipe resolva a situação imediatamente, evitando que a empresa tenha que pagar multas ou se envolver em um processo legal associado a uma violação.
Há algumas desvantagens na aquisição e implementação de um sistema UEBA. Uma delas é o preço. Ele simplesmente pode estar fora do alcance de certas organizações. A sofisticação do UEBA, embora seja positiva para grandes corporações com necessidades de segurança complexas e em constante evolução, pode ser negativa para pequenas e médias empresas que podem lidar com a detecção e o gerenciamento de ameaças por meio de uma série de outras soluções pontuais, como gateways da Web, firewalls e VPNs.
UEBA vs. SIEM
O SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança) é o uso de um conjunto complexo de ferramentas e tecnologias que oferece às organizações uma visão abrangente de seu sistema de segurança de TI. Ele utiliza dados e informações de eventos, permitindo a visibilidade de padrões normais e emitindo alertas quando há circunstâncias e eventos incomuns. O SIEM é semelhante ao UEBA, pois usa informações de comportamento de usuários e entidades para definir o que é considerado comportamento normal e o que não é.
O SIEM é um excelente ponto de partida para o monitoramento e a análise de segurança, pois captura dados de firewalls e registros de sistemas operacionais e tráfego de rede. É claro que isso levanta a questão: Uma organização precisaria tanto do SIEM quanto do UEBA? Haveria uma sobreposição significativa?
A resposta é sim e não. Embora possam parecer extremamente semelhantes, na verdade eles fazem coisas diferentes.
Os SIEMs são boas ferramentas de gerenciamento de segurança, mas são menos sofisticados quando se trata de detecção e resposta a ameaças mais avançadas. Os SIEMs podem lidar com ameaças em tempo real com bastante facilidade, mas talvez não consigam detectar um ataque cibernético sofisticado. Isso ocorre porque os atacantes cibernéticos sofisticados evitam ameaças simples e pontuais e, em vez disso, se envolvem em um ataque prolongado que pode passar despercebido pelas ferramentas tradicionais de gerenciamento de ameaças por várias semanas ou até meses.
Por outro lado, as soluções UEBA são capazes de detectar ameaças mais sofisticadas, como aquelas que podem ser indetectáveis no dia a dia, mas que, com o passar do tempo, apresentam um padrão surpreendente. O malvertising é um exemplo disso, um applet de publicidade aparentemente inofensivo baixado em um navegador que coleta dados do usuário ou infecta o dispositivo do usuário.
Com a combinação das ferramentas UEBA e SIEM, as empresas têm mais condições de se defender contra uma ampla gama de ameaças. Ao se concentrar menos em eventos do sistema e mais em atividades específicas de usuários ou entidades, a UEBA cria um perfil de um funcionário ou entidade com base em padrões de uso e envia um alerta se observar um comportamento incomum ou suspeito do usuário.
Embora o SIEM seja excelente para relatórios de conformidade e monitoramento de eventos, como atividade de acesso, o UEBA é melhor para detectar ameaças internas e proteger os ativos digitais de uma organização, especialmente quando esses ativos incluem propriedade intelectual (IP) de alto valor.
É claro que você não deve entrar com os dois sistemas. Se já tiver implantado um sistema SIEM, avalie seus recursos de monitoramento de usuários, criação de perfis e detecção de anomalias para determinar se eles podem ser adaptados aos seus casos de uso antes de recorrer a uma solução UEBA.
Tanto o SIEM quanto a UEBA têm recursos importantes que permitem que as organizações atendam às suas necessidades comerciais e de segurança. Como os ataques internos são reais e caros, considere a UEBA como um complemento ao SIEM.
Fonte:
Douglas Bernardini
Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.
Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)
Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.
Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).