A cada dia que passa o time de Segurança da Informação procura soluções que possam ajudar a detectar e responder incidentes como o conceito de Zero Trust Architecture, que diz “Nunca confiar, sempre verificar”. Para isso, ferramentas que analisam o comportamento têm sido aliadas poderosas. A Análise de comportamento dá uma visão mais detalhada do que acontece no ambiente e assim tem sido amplamente utilizada ao redor do mundo.
O uso do UEBA (User and Entity Behavior Analytics) em soluções possibilita o monitoramento e análise de comportamento de assets (usuários, aplicações, devices etc.), ajudando na detecção e resposta de comportamentos anômalos e maliciosos.
Sendo assim, possui uma abrangência de detecção baseada no comportamento de assets e não apenas focando em IP. Com este approach, o UEBA consegue nos auxiliar na detecção de ataques como DDOS, engenharia social, phishing, whaling, malwares e ransomwares. Ademais, o UEBA inclui mais uma camada de segurança para um cenário onde os ataques continuam se expandindo, considerando o conceito de defesa em camadas, o UEBA é uma ferramenta poderosa para aumentar a postura de segurança do ambiente.
Abaixo é possível identificar a relação de alguns pontos que podem ajudar a entender como o UEBA pode ajudar times de Segurança da Informação:
User Profiling: Um asset tem uma maneira de se comportar usualmente, diante disso o UEBA cria perfis de como normalmente este asset se comporta. Por exemplo, tempo de sessão, local, tipo de dispositivo utilizado etc. Um desvio deste comportamento pode gerar um alerta para investigação.
Análise de comportamento: Com análise contínua de padrões, o UEBA, através de algoritmos de machine learning, cria um perfil de utilização para um asset. Continuamente o UEBA verifica este comportamento onde um possível desvio pode gerar um alerta.
Análise de Contexto: A análise de contexto também é utilizada para identificação de anomalias. Por exemplo, usuários e suas responsabilidades; que tipo de horário normalmente o acesso é realizado etc. A utilização de análise de contexto ajuda na diminuição de falsos positivos.
Detecção de anomalias: O UEBA identifica atividades que desviam da conduta estabelecida no baseline, pode ser considerado anomalias, acesso a dados sensíveis, horário de login não comum etc.
Monitoramento de identidades: O UEBA também foca no monitoramento de IoT Devices, servidores, desktops, aplicações etc. Comportamentos não esperados destes ativos podem gerar um alerta.
Correlação de eventos: Correlacionando informações, o UEBA consegue criar mais cenários de análise e detecção de anomalias e ameaças. Por exemplo, usar o momento do login, logs de acesso a dados sensíveis para identificação de atividades suspeitas fora do comportamento esperado.
Monitoramento em tempo real: Sistemas UEBA detectam em tempo real comportamentos suspeitos e integrados com o SOC ajudam na investigação de possíveis incidentes.
Resposta incidente: Automatizar a resposta a incidentes e integrar soluções UEBA com SOC. Este processo tem se mostrado eficaz para automação e em prover informações importantes para times de segurança da informação que precisam responder incidentes.
Conclusão
Diante do exposto, pode-se notar que o UEBA atua na análise comportamental e apoia na detecção e respostas a incidentes, sendo um ótimo aliado para identificar comportamentos anômalos de identidades e de acessos. Com isso, o UEBA traz um complemento muito forte à disciplina de IAM, permitindo integrações de processos de monitoramento com controles e tecnologias de gerenciamento de acessos.
Comentarios