Tópicos técnicos

O que é a análise de comportamento de usuários e entidades (UEBA)?

Ilustração de itens de TI com foco em um ponto de interrogação

Visão geral

A análise de comportamento de usuários e entidades (UEBA) é um tipo de solução de segurança cibernética que usa aprendizado de máquina (ML), aprendizado profundo e análise estatística para identificar os padrões normais de comportamento de usuários e entidades (por exemplo, hosts, aplicativos, tráfego de rede e repositórios de dados) em redes corporativas ou sistemas de computadores. Quando anomalias ou desvios desses padrões de comportamento são detectados e uma pontuação de risco ultrapassa um limite designado, uma solução UEBA alerta as equipes do centro de operações de segurança (SOC) sobre a existência de uma possível ameaça ou ataque cibernético em andamento.

O UEBA é uma ferramenta essencial na pilha de segurança cibernética de uma organização moderna, especialmente porque muitas ferramentas legadas estão se tornando obsoletas rapidamente. À medida que os criminosos cibernéticos e os hackers se tornam mais sofisticados, eles podem contornar mais facilmente os sistemas tradicionais de defesa de perímetro, como gateways seguros da Web (SWGs), firewalls e outras ferramentas de prevenção de intrusões.

Se você não está familiarizado com o UEBA, este guia está aqui para ajudá-lo a entendê-lo. A seguir, discutiremos o que é a segurança do UEBA, como ela funciona, a diferença entre a análise do comportamento do usuário (UBA) e o UEBA e as práticas recomendadas do UEBA.

Análise de comportamento de usuários e entidades (UEBA)

O que é a segurança do UEBA?

Muitas ferramentas legadas de segurança cibernética identificaram anomalias ou desvios de padrões de comportamento usando apenas análise estatística e regras de correlação definidas pelo usuário. Embora essas ferramentas sejam eficazes para impedir ameaças conhecidas, elas são obsoletas quando se trata de ataques desconhecidos ou de dia zero e ameaças internas. No entanto, com a segurança UEBA, as equipes de SOC podem detectar automaticamente comportamentos incomuns em redes corporativas ou sistemas de computadores inteiros sem depender de regras ou padrões definidos pelo usuário.

O UEBA combina o poder do ML, da aprendizagem profunda e da análise estatística para fornecer às equipes de SOC um software de detecção de ameaçasmais abrangente , permitindo queas organizações detectem automaticamente ataques complexos em vários usuários e entidades. Além disso, uma solução UEBA pode agrupar dados em logs e relatórios, bem como analisar informações em arquivos e pacotes.


Como funciona a segurança do UEBA?

O UEBA funciona coletando informações sobre padrões normais de comportamento de usuários e entidades nos registros do sistema. Em seguida, ele aplica métodos inteligentes de análise estatística para interpretar cada conjunto de dados e estabelecer linhas de base desses padrões de comportamento. Estabelecer linhas de base de padrões de comportamento é fundamental para o UEBA, pois isso permite que o sistema detecte possíveis ataques cibernéticos ou ameaças.

Com uma solução UEBA, os comportamentos atuais de usuários e entidades são continuamente comparados com suas linhas de base individuais. Em seguida, o software de inteligência contra ameaças cibernéticas UEBA calcula as pontuações de risco e identifica se alguma anomalia ou desvio no padrão de comportamento é arriscado. Se uma pontuação de risco ultrapassar um determinado limite, o sistema UEBA alertará os membros da equipe do SOC.

Por exemplo, se um usuário baixar regularmente 5 MB de arquivos por dia e, de repente, começar a baixar arquivos no valor de gigabytes, uma solução UEBA identificaria esse desvio do padrão de comportamento do usuário e alertaria a TI sobre uma possível ameaça à segurança.

De acordo com o Gartner, uma solução UEBA é definida por três atributos principais:

  1. Casos de uso: Uma solução UEBA deve ser capaz de analisar, detectar, relatar e monitorar padrões de comportamento de usuários e entidades. E, ao contrário das soluções pontuais do passado, a UEBA deve se concentrar em vários casos de uso, em vez de se concentrar apenas em análises especializadas, como monitoramento de host confiável ou detecção de fraudes.
  2. Análise: Uma solução UEBA deve oferecer recursos avançados de análise que possam detectar anomalias de padrões de comportamento usando várias abordagens de análise em um único pacote. Isso inclui modelos estatísticos e aprendizado de máquina (ML), além de regras e assinaturas.
  3. Fontes de dados: Uma solução UEBA deve ser capaz de ingerir dados de atividades de usuários e entidades, tanto nativamente das fontes de dados quanto por meio de um repositório de dados existente (por exemplo, SIEM (Security Information and Event Management), data warehouse ou um data lake).

Diferenças entre as ferramentas UBA e UEBA

Definida pelo Gartner, a UBA (User Behavior Analytics, análise do comportamento do usuário) foi a precursora da UEBA, pois era uma ferramenta de segurança cibernética que analisava estritamente os padrões de comportamento do usuário em redes ou sistemas de computadores. Embora as soluções de UBA ainda aplicassem análises avançadas para identificar anomalias nos padrões de comportamento, elas não conseguiam analisar outras entidades, como roteadores, servidores e endpoints.

Posteriormente, a Gartner atualizou a definição de UBA e criou a UEBA, que incluía a análise comportamental de usuários e entidades (individualmente ou em grupos de pares). As soluções UEBA são mais avançadas do que as soluções UBA, pois usam ML e aprendizagem profunda para reconhecer ataques complexos - como ameaças internas (por exemplo, exfiltração de dados), ameaças persistentes avançadas ou ataques de dia zero - em indivíduos, dispositivos e redes (incluindo redes baseadas em nuvem) em vez de depender de regras de correlação definidas pelo usuário.


Práticas recomendadas da UEBA

Como regra geral, as ferramentas UEBA não devem substituir ferramentas de segurança cibernética ou sistemas de monitoramento preexistentes, como CASBs ou sistemas de detecção de intrusão (IDS). Em vez disso, a UEBA deve ser incorporada à pilha geral de segurança para aprimorar a postura de segurança geral da organização. Outras práticas recomendadas do UEBA incluem:

  • Garantir que somente os membros de TI designados recebam alertas do sistema UEBA.
  • Considere as contas de usuários privilegiados e não privilegiados como potencialmente arriscadas.
  • Crie novas políticas e regras levando em conta as ameaças internas e externas.
  • Combine o UEBA com a análise de segurança de big data, como os SIEMs, para torná-los mais eficazes na detecção e análise de ameaças complexas ou desconhecidas.

Implantar o UEBA com o CyberRes Arcsight Intelligence

Quando se trata de análise avançada do comportamento de usuários e entidades, o Arcsight Intelligence da CyberRes (uma linha de negócios da Micro Focus ) pode ajudar sua organização a se manter protegida contra ameaças cibernéticas complexas. Fornecendo uma visão contextualizada dos padrões de comportamento do usuário e da entidade em sua empresa, nossa ferramenta UEBA avançada oferece à sua equipe de SOC ferramentas abrangentes para visualizar e investigar ameaças - comoameaças internas e APTs - antes queseja tarde demais.


Bloqueio de ameaças internas com a análise comportamental do site ArcSight

Além disso, nossos modelos de detecção de anomalias não esperam os mesmos padrões de comportamento de todos os usuários ou entidades, o que significa que você não terá de lidar com uma enxurrada de alertas falsos positivos. Com o uso da ArcSight Intelligence, nosso software estabelece um delineamento claro entre o comportamento incomum e as ameaças reais, utilizando a probabilidade matemática e o ML não supervisionado para identificar as ameaças cibernéticas com mais precisão.

Se estiver pronto para ver como a ArcSight Intelligence utiliza uma solução UEBA para ajudar a sua equipe de SOC a descobrir rapidamente ameaças ocultas na sua rede corporativa, fique à vontade para solicitar uma demonstração hoje mesmo.

Notas de rodapé