Debate sobre o conceito UEBA e análise comportamental proporciona conhecimento e quebra de paradigmas.

Durante muito tempo a segurança foi pensada como um processo reativo, ou seja, era algo que as empresas precisavam lidar apenas no caso de um evento, uma invasão, uma ameaça real. Sistemas de defesa como os firewalls, incluindo os de nova geração, bem evoluídos e sofisticados, passaram a fazer uma parte importante da tarefa de blindar a empresa das ameaças. Mas será que isso é suficiente?

Com certeza frente aos tipos de ameaça que existem hoje, nem um pouco! Nem sempre o “atacante” está apenas fora da organização. Nem sempre as possíveis ameaças são previamente conhecidas. A receita de “assinatura do ataque” já foi importante, mas hoje em dia a abordagem deve ser bem mais minuciosa para consolidar uma proteção efetiva.

Que fique claro que as proteções já existentes precisam permanecer, mas algo mais precisa ser considerado. Sobre isso que consiste o conceito do UEBA. A análise do comportamento de usuários e “entidades” (que podem ser dispositivos na rede), traz um nível de análise que incrementa muito o grau de segurança.

Os usuários internos são monitorados constantemente e em função de suas ações (que podem estar sendo feitas por eles ou por alguém que se apropriou de suas credenciais), são confrontadas com regras e políticas estabelecidas. Dessa forma um grau de risco é atribuído a cada usuário. Da mesma forma dispositivos são monitorados em relação ao seu comportamento. Que sentido faz um roteador reiniciar sozinho na madrugada ou porque um sensor qualquer está recebendo acessos em volume igual ou maior que o volume de dados que ele envia? E por que um usuário que não grava arquivos em mídias removíveis, ou acessando fora do horário de trabalho, está fazendo isso?

Estas ações sozinhas podem não significar nada, mas a grande inteligência do UEBA é a contextualização das análises e assim tornar muito significativo os eventos de segurança. Outra tecnologia muito importante usada pelas empresas é o SIEM (Security information and event management) que gera uma massa de dados grande, que em conjunto com o UEBA, com sua inteligência, viabiliza a monitoração e determinação de riscos ou ameaças em progresso.

Qual a solução?

A Forcepoint tem uma solução bastante abrangente contendo sofisticações úteis e interessantes. O contexto de um evento gerado por um usuário é totalmente definido por várias formas, entre elas, por meio da captura de sua sessão de uso do dispositivo (imagens e vídeo), acesso à rede, email, etc. Estes dados podem ser usados para análise forense de incidente ou mesmo para a atribuição do grau de risco do usuário e disso decorrer maior acompanhamento das ações ou restrição de alguns acessou ou privilégios deste usuário.

O conceito do UEBA pode ser ainda explorado no texto abaixo, de autoria da Forcepoint no qual é mostrada a importância da abordagem analítica além do tradicional enfoque defensivo.

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here