Os ataques cibernéticos continuam evoluindo e desafiando cada vez mais as equipes de segurança corporativa. A cada dia são criadas centenas de novas ameaças e as tradicionais soluções baseadas em assinaturas, ainda que necessárias, não são suficientes para barrar todas elas. É preciso incluir mais inteligência no processo.
Todos os dias, as equipes de segurança recebem centenas de milhares de alertas gerados por diferentes soluções de segurança, que podem ou não serem ataques reais. Avaliar todos esses alertas e endereçar àqueles que merecem alguma ação corretiva é uma tarefa humanamente impossível.
Para combater as ameaças cada vez mais sofisticadas, um novo conceito está sendo usado no mercado de segurança da informação: UEBA, sigla que vem do inglês User and Entity Behavior Analytics, e que significa: análise de comportamento de usuários e entidades.
O UEBA tem como premissa usar inteligência artificial e aprendizado de máquina para analisar todas atividades com base no comportamento dos usuários e das entidades para então identificar quais situações são consideradas normais e quais situações são suspeitas. Ao filtrar bilhões de eventos em tempo real, é possível então chegar a um número muito menor de possíveis ameaças reais nas quais as equipes de segurança podem concentrar seus esforços.
Na prática, se um usuário enviar uma grande quantidade de dados para a nuvem usando um aplicativo de compartilhamento de arquivos não autorizado pela empresa, por exemplo, isso pode ser um indício de problema na segurança e precisa de uma análise mais detalhada. O mesmo acontece se um usuário tentar enviar informações confidenciais por e-mail para um destinatário fora da rede corporativa ou quando um login é feito durante a madrugada, em um lugar atípico, seguido por uso indevido do sistema.
Essas atividades suspeitas, quando ocorrem simultaneamente, não podem ser detectadas por uma solução tradicional, mas, quando combinadas, são comportamentos que podem apontar o roubo de credenciais e podem ter como objetivo o roubo de propriedade intelectual, violação de conformidade ou até o vazamento de dados corporativos.
A análise de comportamento compara as atividades realizadas com o comportamento padrão de cada usuário, com o comportamento do restante da equipe e com toda a população daquela empresa. Caso alguma ação não seja adequada com a função do usuário, a ferramenta é capaz de detectar o comportamento suspeito, baseado em riscos, para priorizar eventos com base no valor do ativo e na gravidade da situação, de maneira totalmente independente dos administradores, através de inteligência artificial.
Uma ferramenta de UEBA também é capaz de analisar o comportamento de entidades ou coisas, que podem ser usadas pelos cibercriminosos como canais para ataques, sem também precisar de configuração por parte dos analistas de segurança. Assim, se uma impressora, servidor ou repositório passar a agir de modo estranho, é possível detectar o problema e iniciar uma possível resposta ao incidente rapidamente.
Não é nada fácil prever todas as etapas possíveis que um criminoso pode executar. Um comportamento suspeito pode ser qualquer sequência de ações que, isoladas, não são perigosas, mas que quando observadas adequadamente, formam um padrão que indica uma ameaça e risco corporativo em potencial.
A vantagem de monitorar a atividade e o comportamento dos usuários e entidades é a possibilidade de aumentar a precisão das operações de segurança e, ao mesmo tempo, encurtar a duração das investigações, obtendo mais produtividade das equipes de segurança.
* Carlos Jardim é gerente de engenharia de vendas da McAfee no Brasil
