Direct Inward Dialing: +1 408 916 9892
Análise do Comportamento do Usuário (UBA) é um processo de segurança cibernética que geralmente usa machine learning para detectar atividades incomuns de usuários na rede. Essa tecnologia é particularmente útil na detecção de ameaças internas, exfiltração de dados, comprometimento de contas e Ameaças Persistentes Avançadas (APT) dentro a rede.
A UBA estabelece uma linha de base para a atividade do usuário e qualquer desvio será destacado. Para determinar a linha de base, o processo leva um determinado período de tempo conhecido como período de treinamento. Esse período de treinamento varia dependendo do algoritmo de back-end usado. Assim que o sistema for treinado, ele começará a analisar as atividades da rede e a identificar os valores discrepantes. Uma das vantagens desse processo é que não requer interação humana. A maioria dos algoritmos de ML não são supervisionados e treinam o sistema dinamicamente com base nas mudanças no ambiente. Por ser um processo dinâmico, a linha de base da atividade do usuário é constantemente atualizada.
Detecção de ameaças baseada em regras vs detecção de ameaças baseada em comportamento
A UBA, que é um sistema baseado em modelo, se sobressai muito melhor quando comparado com o sistema mais tradicional baseado em regras. Um sistema baseado em modelo é muito mais eficiente na análise de eventos na rede para decidir se um evento é ou não uma ameaça. Um sistema baseado em regras funciona em um conjunto de regras que foram pré-configuradas, enquanto um sistema baseado em modelo funciona estabelecendo uma linha de base dinâmica para o comportamento do usuário e emitindo um alerta sempre que o comportamento se desvia da linha de base.
Para que os sistemas baseados em regras funcionem de forma eficiente, os administradores têm de formular regras para cada ameaça potencial e isso é praticamente impossível. Além disso, estas regras não podem antecipar ameaças que podem entrar na sua rede através de métodos anteriormente desconhecidos. Um sistema baseado em comportamento, por outro lado, pode detectar qualquer evento incomum na rede com base em linhas de base de comportamento dinâmico.
Por exemplo, em um sistema baseado em regras, um alerta de ataque de força bruta seria emitido quando um determinado número de logons com falha fosse tentado e a tentativa final fosse bem-sucedida. O problema aqui é que é uma tarefa complicada decidir o threshold de falha no logon. No mesmo cenário, um sistema baseado em comportamento consideraria o número excessivo de logons com falha uma anomalia e emitiria prontamente um alerta, sem a necessidade de um threshold.
A UBA, usado em conjunto com sistemas de segurança periféricos, pode ajudá-lo a melhorar muito a postura de segurança.
Embora firewalls e software antivírus ajudem a proteger a rede contra ameaças externas, a UBA pode rastrear as atividades de um estranho que conseguiu entrar na rede sem ser detectado ou pode analisar o comportamento de pessoas internas e detectar atividades suspeitas. Como este recurso depende da detecção de ameaças baseada em comportamento, ele reduz o número de alertas de segurança ao reduzir drasticamente o número de falsos positivos. Um dos principais motivos pelos quais muitos administradores ignoram os alertas do sistema de segurança é porque a maioria deles são falsos positivos.
ADAudit Plus: uma ferramenta de auditoria do Active Directory com capacidade UBA
ADAudit Plus é uma ferramenta de auditoria e relatórios em tempo real do Active Directory que usa UBA para identificar qualquer atividade suspeita na rede. Por exemplo, se um usuário, que de outra forma fizer login no horário normal de trabalho, fizer login repentinamente às 3h, isso será registrado no relatório Tempo de Atividade de Logon Incomum na seção Análise do ADAudit Plus. Além disso, o ADAudit Plus também emite alertas em tempo real ao detectar qualquer atividade incomum na rede. Aqui está um exemplo de relatório sobre o tempo incomum de atividade de logon da seção Análise no ADAudit Plus:
Este relatório mostra o tempo de atividade incomum junto com o horário geral de início e término do usuário específico. Isso pode ajudar o administrador a entender por que foi sinalizado como incomum e pode decidir se deve ou não ser considerado suspeito. Este relatório pode ser acessado no ADAudit Plus navegando até Análise > Atividade de Logon Anômala > Tempo de Atividade de Logon Incomum.
Baixe o ADAudit Plus da ManageEngine para obter mais de 200 relatórios de auditoria e alertas por e-mail. É uma ferramenta útil para compreender o comportamento dos funcionários em relação à TI, para impedir ataques internos e externos e também para fins de conformidade.