A análise de comportamento de usuários e entidades (UEBA) é um tipo de solução de segurança cibernética que usa aprendizado de máquina (ML), aprendizado profundo e análise estatística para identificar os padrões normais de comportamento de usuários e entidades (por exemplo, hosts, aplicativos, tráfego de rede e repositórios de dados) em redes corporativas ou sistemas de computadores. Quando anomalias ou desvios desses padrões de comportamento são detectados e uma pontuação de risco ultrapassa um limite designado, uma solução UEBA alerta as equipes do centro de operações de segurança (SOC) sobre a existência de uma possível ameaça ou ataque cibernético em andamento.
O UEBA é uma ferramenta essencial na pilha de segurança cibernética de uma organização moderna, especialmente porque muitas ferramentas legadas estão se tornando obsoletas rapidamente. À medida que os criminosos cibernéticos e os hackers se tornam mais sofisticados, eles podem contornar mais facilmente os sistemas tradicionais de defesa de perímetro, como gateways seguros da Web (SWGs), firewalls e outras ferramentas de prevenção de intrusões.
Se você não está familiarizado com o UEBA, este guia está aqui para ajudá-lo a entendê-lo. A seguir, discutiremos o que é a segurança do UEBA, como ela funciona, a diferença entre a análise do comportamento do usuário (UBA) e o UEBA e as práticas recomendadas do UEBA.
Muitas ferramentas legadas de segurança cibernética identificaram anomalias ou desvios de padrões de comportamento usando apenas análise estatística e regras de correlação definidas pelo usuário. Embora essas ferramentas sejam eficazes para impedir ameaças conhecidas, elas são obsoletas quando se trata de ataques desconhecidos ou de dia zero e ameaças internas. No entanto, com a segurança UEBA, as equipes de SOC podem detectar automaticamente comportamentos incomuns em redes corporativas ou sistemas de computadores inteiros sem depender de regras ou padrões definidos pelo usuário.
O UEBA combina o poder do ML, da aprendizagem profunda e da análise estatística para fornecer às equipes de SOC um software de detecção de ameaçasmais abrangente , permitindo queas organizações detectem automaticamente ataques complexos em vários usuários e entidades. Além disso, uma solução UEBA pode agrupar dados em logs e relatórios, bem como analisar informações em arquivos e pacotes.
O UEBA funciona coletando informações sobre padrões normais de comportamento de usuários e entidades nos registros do sistema. Em seguida, ele aplica métodos inteligentes de análise estatística para interpretar cada conjunto de dados e estabelecer linhas de base desses padrões de comportamento. Estabelecer linhas de base de padrões de comportamento é fundamental para o UEBA, pois isso permite que o sistema detecte possíveis ataques cibernéticos ou ameaças.
Com uma solução UEBA, os comportamentos atuais de usuários e entidades são continuamente comparados com suas linhas de base individuais. Em seguida, o software de inteligência contra ameaças cibernéticas UEBA calcula as pontuações de risco e identifica se alguma anomalia ou desvio no padrão de comportamento é arriscado. Se uma pontuação de risco ultrapassar um determinado limite, o sistema UEBA alertará os membros da equipe do SOC.
Por exemplo, se um usuário baixar regularmente 5 MB de arquivos por dia e, de repente, começar a baixar arquivos no valor de gigabytes, uma solução UEBA identificaria esse desvio do padrão de comportamento do usuário e alertaria a TI sobre uma possível ameaça à segurança.
De acordo com o Gartner, uma solução UEBA é definida por três atributos principais:
Definida pelo Gartner, a UBA (User Behavior Analytics, análise do comportamento do usuário) foi a precursora da UEBA, pois era uma ferramenta de segurança cibernética que analisava estritamente os padrões de comportamento do usuário em redes ou sistemas de computadores. Embora as soluções de UBA ainda aplicassem análises avançadas para identificar anomalias nos padrões de comportamento, elas não conseguiam analisar outras entidades, como roteadores, servidores e endpoints.
Posteriormente, a Gartner atualizou a definição de UBA e criou a UEBA, que incluía a análise comportamental de usuários e entidades (individualmente ou em grupos de pares). As soluções UEBA são mais avançadas do que as soluções UBA, pois usam ML e aprendizagem profunda para reconhecer ataques complexos - como ameaças internas (por exemplo, exfiltração de dados), ameaças persistentes avançadas ou ataques de dia zero - em indivíduos, dispositivos e redes (incluindo redes baseadas em nuvem) em vez de depender de regras de correlação definidas pelo usuário.
Como regra geral, as ferramentas UEBA não devem substituir ferramentas de segurança cibernética ou sistemas de monitoramento preexistentes, como CASBs ou sistemas de detecção de intrusão (IDS). Em vez disso, a UEBA deve ser incorporada à pilha geral de segurança para aprimorar a postura de segurança geral da organização. Outras práticas recomendadas do UEBA incluem:
Quando se trata de análise avançada do comportamento de usuários e entidades, o Arcsight Intelligence da CyberRes (uma linha de negócios da Micro Focus ) pode ajudar sua organização a se manter protegida contra ameaças cibernéticas complexas. Fornecendo uma visão contextualizada dos padrões de comportamento do usuário e da entidade em sua empresa, nossa ferramenta UEBA avançada oferece à sua equipe de SOC ferramentas abrangentes para visualizar e investigar ameaças - comoameaças internas e APTs - antes queseja tarde demais.
Além disso, nossos modelos de detecção de anomalias não esperam os mesmos padrões de comportamento de todos os usuários ou entidades, o que significa que você não terá de lidar com uma enxurrada de alertas falsos positivos. Com o uso da ArcSight Intelligence, nosso software estabelece um delineamento claro entre o comportamento incomum e as ameaças reais, utilizando a probabilidade matemática e o ML não supervisionado para identificar as ameaças cibernéticas com mais precisão.
Se estiver pronto para ver como a ArcSight Intelligence utiliza uma solução UEBA para ajudar a sua equipe de SOC a descobrir rapidamente ameaças ocultas na sua rede corporativa, fique à vontade para solicitar uma demonstração hoje mesmo.
Detectar proativamente riscos internos, novos ataques e ameaças persistentes avançadas
Acelere a detecção e a resposta a ameaças com detecção em tempo real e SOAR nativo
Proteção mais inteligente e mais simples
Capacite sua equipe de SOC com: detecção de ameaças em tempo real; mitigação de ameaças internas; gerenciamento de logs, conformidade e recursos de caça a ameaças; orquestração, automação e resposta de segurança.
Simplifique o gerenciamento de registros e a conformidade e acelere a investigação forense. Caça e derrota ameaças com pesquisa, visualização e geração de relatórios de big data
OpenText A ThreatHub Research mostra o que está ameaçando a sua organização e o que você pode fazer a respeito. Criada por CISOs e destinada a CISOs, a OpenText ThreatHub Research ajuda a fortalecer sua resiliência cibernética e a proteger estrategicamente sua cadeia de valor digital