Segurança da Informação x comportamento do usuário: como agir?
Enquanto as ferramentas de segurança tenham evoluído com o uso de Inteligência Artificial e outras tecnologias de última geração, seu princípio de funcionamento permanece o mesmo. Mas, como fica a segurança da informação no contexto de comportamento do usuário?
Os firewalls, por exemplo, analisam o conteúdo de pacotes e outros metadados, como endereços IP, para detectar e impedir que invasores consigam entrar no sistema. E o software antivírus está constantemente examinando os sistemas de arquivos em busca de malware. Assim, procurando por bits de código e outros sinais de que um arquivo está infectado.
Não pode ler agora? Ouça este artigo clicando no player:
Ao contrário de firewalls e software antivírus, a Segurança da Informação (SI) baseada no comportamento do usuário, ou User Behavior Analytics (UBA), se concentra no que o usuário está fazendo: aplicativos iniciados, atividade de rede e, arquivos mais críticos acessados (quando o arquivo ou e-mail foi alterado, quem o modificou, o que foi feito com e com que frequência).
O que é a segurança da informação baseada no comportamento do usuário?
A tecnologia UBA procura padrões de uso que indiquem comportamentos incomuns ou anômalos — independentemente de as atividades serem provenientes de hackers, usuários internos, malware ou outros processos. Embora o UBA não impeça que hackers entrem no seu sistema, ele pode identificar rapidamente o trabalho deles e minimizar os danos.
Sim, o UBA é a próxima etapa do SIEM, Security Information and Event Manager, ou Gerenciamento e Correlação de Eventos de Segurança). O SIEM tradicionalmente se concentra na análise de eventos capturados em firewalls, sistemas operacionais e outros logs do sistema, a fim de identificar correlações interessantes, geralmente por meio de regras predefinidas.
Por exemplo, vários eventos de falha de login em um log podem ser um sinal de hackers entrando no sistema. O SIEM, então, reconhece isso e alerta sobre a invasão.
Como veremos, em breve, ao se concentrar nos sistemas de perímetro e nos logs do sistema operacional em vez dos dados em si, é fácil perder os usuários que abusam do acesso, bem como a atividade dos hackers. Ou seja, porque eles se tornaram muito bons em se parecer como usuários comuns quando estão dentro da rede.
Segurança da Informação baseada no comportamento do usuário
É aí que entra a segurança da informação baseada no comportamento do usuário. Ao focar menos em eventos do sistema e mais em atividades específicas do usuário, o UBA pode aprender padrões de usuários legítimos e se concentrar nos hackers quando seus comportamentos diferem desses.
Para aqueles que desejam uma definição mais tradicional da segurança da informação baseada no comportamento do usuário, a empresa de pesquisa Gartner apresentou o seguinte:
“No User Behavior Analytics, a análise é focada em usuários, contas de usuário, identidades de usuário — e não em, digamos, endereços IP ou hosts. (…) Essas ferramentas podem coletar logs e dados de contexto em si ou de um SIEM e utilizar vários algoritmos analíticos para criar novos insights a partir desses dados”.
Como o User Behavior Analytics funciona?
O User Behavior Analytics permite determinar com mais facilidade uma ameaça em potencial. Além disso, é uma parte externa que finge ser um funcionário ou um funcionário real que apresenta algum tipo de risco, seja por negligência ou malícia.
O UBA conecta a atividade na rede a um usuário específico em oposição a um endereço IP ou um ativo. Isso significa que, se um usuário começar a se comportar de uma maneira incomum ou improvável, mesmo que não seja sinalizado pelas ferramentas tradicionais de monitoramento de perímetro, você poderá identificar o comportamento rapidamente, determinar se é anômalo e iniciar uma investigação.
Por exemplo, credenciais roubadas são um vetor de ataque comum usado por cibercriminosos. Quer o criminoso obtenha credenciais através de ataques de phishing, malware, chaves de registro ou até mesmo violação de dados de terceiros, tudo o que eles precisam é de uma combinação correta de nome de usuário e senha para ter sucesso. Assim, depois que eles conseguem fazer login, eles podem se mover silenciosamente em uma rede sem ser detectados.
No entanto, quando um invasor entra, ele, geralmente, começa a agir de maneira diferente de um usuário normal. O invasor avança de um passo a outro. Estrategicamente, procurando alvos cada vez mais interessantes para invadir e dados para exfiltrar.
A capacidade de definir qual tipo de comportamento do usuário é normal em uma rede é crítica. A segurança da informação baseada no comportamento do usuário fornece os dados para identificar facilmente tendências, para que você possa investigar com mais facilidade e rapidez as ameaças potenciais e interromper a cadeia de ataques.
Quais os benefícios do User Behavior Analytics?
Infelizmente, as ferramentas de segurança da informação de hoje estão se tornando obsoletas rapidamente. Assim, agora, hackers mais habilidosos são capazes de contornar as defesas de perímetro usadas pela maioria das empresas.
A grande verdade? Medidas preventivas não são mais suficientes. Seus firewalls não serão 100% infalíveis, hackers e invasores entrarão no seu sistema em um ponto ou outro. É por isso que a detecção é igualmente importante: quando os hackers conseguem entrar no seu sistema com sucesso, você deve poder detectar rapidamente a presença deles para minimizar os danos.
A importância do UBA
Como tal, o UBA é um componente muito importante da segurança da informação, permitindo que você:
- Detecte ameaças internas: não é exagero imaginar que um funcionário, ou talvez um grupo de funcionários, possa ser desonesto, roubando dados e informações usando seu próprio acesso. O UBA pode ajudá-lo a detectar violações de dados, sabotagem, abuso de privilégios e violações de política feitas por sua própria equipe;
- Detecte contas comprometidas: às vezes, as contas de usuário são comprometidas. Pode ser que o usuário tenha instalado malware inconscientemente em sua máquina ou, às vezes, uma conta legítima seja falsificada. O UBA pode ajudá-lo a eliminar usuários falsificados e comprometidos antes que eles possam causar danos reais;
- Detecte ataques de força bruta: em alguns casos, os hackers têm como alvo seus sistemas baseados na nuvem e sistemas de autenticação de terceiros. Com o UBA, você é capaz de detectar tentativas de força bruta, permitindo bloquear o acesso a esses sistemas;
- Detecte alterações nas permissões e criação de admins: alguns ataques envolvem o uso de admins. O UBA permite detectar quando admins são criados ou se existem contas às quais foram concedidas permissões desnecessárias;
- Detecte a violação de dados protegidos: se você possui dados protegidos, não basta apenas mantê-los seguros. Você deve saber se um usuário acessou esses dados sem ter nenhum motivo legítimo para acessá-los.
Implementação do User Behavior Analytic é essencial
A implementação do User Behavior Analytics é imprescindível para qualquer organização garantir a segurança da informação. O UBA cresceu exponencialmente, nos últimos anos, com a expansão da Internet das Coisas (IoT) e mais dispositivos que poderiam potencialmente tirar proveito das vulnerabilidades da rede. Esteja você tentando localizar ameaças internas suspeitas ou monitorando contas privilegiadas, ele fornece uma linha de segurança atualizada para a infraestrutura de TI contra ataques intrusivos.
Agora que você aprendeu mais sobre a segurança da informação baseada no comportamento do usuário, aproveite e leia também nosso post sobre a gestão inteligente de dados e veja como fazê-la de forma efetiva!