Desvendando o modelo comportamental de usuários e entidades com a UEBA

Os ataques cibernéticos são uma ameaça crescente, com mais uma tentativa de invasão a cada 39 segundos. O Identity Theft Resource Center (ITRC) reportou um aumento de 17% nas violações de dados em 30 de setembro de 2021, em comparação ao número total de violações em 2020. E esses foram apenas os casos comunicados! Há uma grande falta de transparência no que tange aos avisos de violação, tanto no nível governamental como organizacional, de acordo com o ITRC.

Além disso, a sofisticação dos ataques também está aumentando. Os criminosos cibernéticos estão desenvolvendo novas técnicas de ataque e aprimorando outras mais antigas. Na verdade, de acordo com um relatório da Verizon, os ataques de phishing aumentaram 11% e os incidentes de ransomware dobraram desde 2020.

No entanto, o aspecto mais preocupante é que não são apenas os ataques externos com os quais as organizações devem se preocupar; ataques cibernéticos de ameaças internas estão aumentando diariamente. Várias fontes sugerem que:

• Em todo o mundo, mais de 34% das empresas enfrentam ameaças de informações privilegiadas anualmente.
• Os incidentes provocados por pessoas de dentro das organizações (insiders) aumentaram 47% entre 2018 e 2020, dos quais as ameaças de insiders maliciosos representaram 14%.
• Mais de 50% das empresas enfrentam dificuldade em detectar ameaças internas e o dano causado por elas.

Como se enfrentar essas ameaças não fosse difícil o suficiente, as organizações que não têm uma solução de segurança cibernética adequada consideram difícil detectar e investigar essas ameaças, e as condições de trabalho híbridas como consequência da pandemia não tornam as coisas mais fáceis. De fato, o relatório de violação de dados de 2021 da IBM afirma que, em 2021, o tempo médio para identificar um ataque foi de 212 dias, enquanto o tempo médio para conter o ataque foi de 75 dias.

Portanto, agora surge a pergunta: "Se as ameaças internas são tão comuns e prejudiciais, o que uma organização pode fazer para identificá-las e se proteger contra elas?" Bem, a resposta é simples: As organizações precisam ter uma solução de gerenciamento de informações e eventos de segurança (SIEM) integrada com capacidades de análise de comportamento de usuários e entidades (UEBA).

Uma ferramenta de SIEM é uma solução de segurança cibernética que coleta e agrega dados de logs de várias fontes na rede da sua organização e analisa essas informações para detectar vulnerabilidades e ameaças. Ela também oferece a vantagem adicional de alertá-lo sobre essas ameaças em tempo real. O SIEM faz isso utilizando regras de correlação pré-definidas e personalizadas, alertas, fluxos de trabalho de resposta e feeds de inteligência sobre ameaças. Dessa forma, se uma solução de SIEM consegue fazer tudo isso, por que você precisaria da UEBA? A resposta é que, em termos simples, o SIEM sem a UEBA é como um cirurgião sem bisturis e suturas, ou a equipe da SWAT sem um colete a prova de balas. Uma ferramenta de SIEM sem UEBA não é uma solução completa para segurança de dados ou detecção de ameaças. Em outras palavras, uma solução de SIEM com capacidades de UEBA ajuda a detectar, investigar e responder às ameaças à sua organização prontamente. Sendo assim, sem mais delongas, deixe-me explicar o que é UEBA e como ela pode beneficiar sua organização.

UEBA

A UEBA, também conhecida como detecção de anomalias, é um processo de segurança cibernética que monitora e analisa o comportamento de cada usuário e entidade, como roteadores, servidores e endpoints na rede de uma organização, para detectar anomalias. Com base na sua análise, a UEBA determina o padrão normal de trabalho e cria uma linha de base da atividade esperada para cada usuário e entidade. Entretanto, para estabelecer essa linha de base comportamental, você precisa fornecer pelo menos duas semanas de dados históricos à UEBA.

Para estabelecer a linha de base, sua solução de UEBA usará os dados de logs agregados na sua ferramenta de SIEM e utilizará algoritmos de machine learning (ML), que utilizam modelos probabilísticos e estatísticos, para aprender continuamente e identificar o comportamento normal de cada usuário e entidade. Então, você pode afirmar que a capacidade de ML da UEBA é responsável pela detecção de anomalias.

Cada ação atual é comparada com a linha de base comportamental gerada a partir de dados históricos, visando identificar se a ação é normal ou uma anomalia. Dependendo da extensão da divergência, a UEBA atribui uma pontuação de risco adequada para indicar a criticidade do evento, alertando seus analistas de segurança para prevenir o ataque ou interrompê-lo no seu processo.

Detecção de anomalias

Para entender como a UEBA cria um perfil comportamental para cada usuário, vamos analisar um exemplo e entender primeiro como os seres humanos fazem isso. John é um estagiário de marketing recém-contratado. No seu primeiro dia de trabalho, o segurança o reconhece como alguém novo e presta muita atenção para garantir que todas as suas credenciais estejam corretas. O segurança também rastreia o horário em que John entra e sai da organização. Ele monitora a atividade de John por alguns dias e descobre seu padrão de tempo esperado – chegada às 10:00 e saída às 18:00. Qualquer desvio em relação a isso, como a chegada de John às 5:00, levantará suspeitas no segurança. É assim que os humanos detectam uma anomalia.

Da mesma forma, o algoritmo de ML em uma solução UEBA vai monitorar os dados de logs para estabelecer padrões na sua rede. Por exemplo, os horários de login e logoff de um usuário e as ações que ele realiza em dispositivos específicos informarão as atividades esperadas desse usuário à solução UEBA. Após realizar o monitoramento por alguns dias, a solução de UEBA saberá o comportamento esperado do usuário; qualquer desvio em relação a isso, e a pontuação de risco do usuário aumentará para indicar a gravidade da ameaça, e a solução de UEBA sinalizará um alerta para os analistas de segurança. "Mas se um ser humano já consegue fazer isso, por que você precisa da UEBA?" Porque não é humanamente possível para a sua equipe de segurança observar e analisar constantemente o comportamento dos milhares de funcionários que trabalham na sua organização; gerar relatórios sobre atividades anômalas em diferentes partes da rede; e tomar as medidas adequadas imediatamente.

Tipos de riscos

Agora surge a seguinte pergunta: quais são os diferentes tipos de ameaças que a UEBA pode identificar? Vamos dar uma olhada nisso.

• Ameaças internas: Qualquer ameaça aos dados da organização provocada por um indivíduo dentro da organização é conhecida como ameaça interna. Ela pode ser maliciosa, quando o funcionário tenta deliberadamente roubar, modificar ou corromper os dados; ou pode ser não intencional, quando a conta do usuário foi utilizada para roubar informações confidenciais da empresa. Alguns indicadores comuns de ameaças internas incluem um sistema ou arquivo novo ou incomum acessado em um horário incomum, ou múltiplas falhas de autenticação.
• Comprometimento de conta: Quando a conta de um usuário específico é acessada por um usuário não autorizado, isso é denominado comprometimento de conta. Este cenário pode ocorrer quando a senha de um usuário é fraca ou um invasor usa ferramentas sofisticadas para decifrar a sua senha. Falhas contínuas de login seguidas de downloads e instalações de software desconhecidos são um sinal de comprometimento da conta.
• Logins suspeitos: Qualquer ataque, independentemente da sua origem ser interna ou externa, precisará ter um login bem-sucedido em algum momento. No caso de uma ameaça externa, um login bem-sucedido provavelmente será precedido por várias falhas de login. Portanto, podemos dizer que um login anômalo é o primeiro sinal de um ataque. Você precisa observar que sua solução de UEBA deve ser capaz de alertá-lo sobre logins anômalos bem-sucedidos, assim como falhas, para entender o cenário mais amplo. Por exemplo, um login bem-sucedido após várias tentativas malsucedidas pode ser uma indicação de um ataque de força bruta. Um login anormal bem-sucedido em um servidor ou banco de dados também é uma anomalia, podendo significar uma ameaça ou ataque iminente.
• Exfiltração de dados: Se um indivíduo faz uma transferência não autorizada de dados para qualquer usuário ou entidade fora da organização, isso é chamado de exfiltração de dados. Este é um sinal claro de um ataque e, portanto, a pontuação de risco do usuário aumenta exponencialmente. Portanto, sua solução de UEBA atribuirá uma pontuação de alto risco e alertará os analistas para que eles tomem medidas imediatas para evitar um vazamento de dados. Alguns sinais de exfiltração de dados são um número incomum de downloads de arquivos ou transferências de dados utilizando dispositivos USB removíveis.

Em todos os casos acima, independentemente de o usuário ou funcionário atacar o sistema ou a rede, ou se o invasor utilizar as credenciais do funcionário para atacar, a pontuação de risco desse usuário aumentará. O aumento na pontuação de risco é a maneira na qual sua solução de UEBA alertará o analista sobre uma anomalia. Em seguida, o analista investigará a legitimidade do evento e tomará as medidas adequadas.

Pontuação de risco

Agora, você deve estar se perguntando: "O que é uma pontuação de risco e com base em que a UEBA a atribui?" Uma pontuação de risco é um valor entre 0 e 100 que é atribuído a cada usuário e entidade dependendo da frequência e gravidade dos desvios em relação à linha de base estabelecida. Quanto maior o desvio, maior o risco. Os desvios ou anomalias podem ser uma anomalia de horário, anomalia de contagem ou anomalia de padrão. Vamos dar uma olhada no que cada um desses significa.

• Anomalia de horário: Se um usuário ou entidade desvia-se da linha de base esperada, isso é denominado anomalia de horário. Você pode considerar o login de John às 5:00 em vez das 10:00 habituais como um exemplo de anomalia de horário.
• Anomalia de contagem: Se um usuário ou entidade realiza um número anormal de atividades em um curto espaço de tempo, chamamos isso de anomalia de contagem. Um exemplo seria um usuário que acessa um banco de dados com informações de clientes 50 vezes em uma hora.
• Anomalia de padrão: Se uma sequência inesperada de eventos resultar no acesso de uma conta de usuário ou entidade de maneira atípica ou não autorizada, isso é denominado anomalia de padrão. Por exemplo, uma conta de usuário que efetua o login bem-sucedido após oito falhas consecutivas de login, seguidas de várias exclusões de arquivos, modificações e transferências de dados realizadas dessa conta, é um exemplo de anomalia de padrão.

Casos de uso

Agora que você sabe como a UEBA funciona, vamos dar uma olhada em alguns cenários nos quais uma solução de UEBA pode fazer uma grande diferença para uma organização.

• Dylan é um graduado universitário que foi contratado recentemente pela Drug Enforcement Administration (DEA). Ele está ansioso para provar seu valor aos seus supervisores. Dessa forma, quando ele recebe um e-mail com um documento anexado, alegando conter uma dica sobre um possível caso de tráfico de drogas, Dylan o abre imediatamente, sem saber que se trata de um ataque de spear phishing. Enquanto ele tenta investigar o endereço mencionado no documento, o malware incorporado no documento é baixado e, sem que ele perceba, começa a executar comandos para acessar o banco de dados contendo os nomes de agentes secretos da DEA; detalhes de informantes confidenciais; a localização de casas seguras, bem como as drogas e o dinheiro confiscados durante as batidas; e muito mais.

  Cenário 1: A DEA não tem uma solução de UEBA

  Dylan não é o único que está em apuros. As informações sobre os agentes disfarçados e informantes confidenciais caem nas mãos de um cartel de drogas, ameaçando a vida desses profissionais.

  Cenário 2: A DEA tem uma solução de UEBA

  A solução de UEBA identifica a série de atividades incomuns como uma anomalia de padrão, aumenta a pontuação de risco de Dylan e alerta os analistas de segurança imediatamente para que eles possam mitigar a ameaça.

• Ron é enfermeiro no Grace Hospital. Ao tentar verificar os registros do banco de sangue do hospital, Ron recebe um alerta dizendo que seu sistema está infectado com um vírus e que ele deve clicar em um link para resolver o problema. Na sua urgência, Ron clica no link sem entrar em contato com o administrador do sistema para verificá-lo. Ele é direcionado para uma URL diferente, de onde um ransomware é baixado.

  Cenário 1: O Grace Hospital não tem uma solução de UEBA

  Os invasores obtêm acesso à rede, atacam sistemas com senhas fracas, movem-se lateralmente, criptografam arquivos e exigem um alto resgate, paralisando efetivamente todo o hospital. A menos que o resgate seja pago, os equipamentos de diagnóstico e dispositivos cirúrgicos não funcionarão, e os médicos não poderão acessar o histórico médico dos seus pacientes ou elaborar planos de tratamento adequados.

  Cenário 2: O Grace Hospital tem uma solução de UEBA

  O ataque de ransomware é evitado uma vez que a solução de UEBA identifica as renomeações de arquivos, acessos a arquivos e execução de processos incomuns, alertando os analistas sobre a violação nos sistemas do hospital para que eles possam colocar os sistemas afetados em quarentena e mitigar o ataque de maneira eficaz.

Log360 da ManageEngine

Agora que você sabe que precisa de uma solução de SIEM com UEBA, deve estar se perguntando qual escolher. Bem, ficarei feliz em ajudá-lo com isso. O Log360 da ManageEngine é uma solução completa para proteger sua organização contra ataques cibernéticos. Ele é uma solução de SIEM que oferece um mecanismo de correlação, inteligência sobre ameaças e funcionalidade de UEBA para analisar dados e detectar ameaças e vulnerabilidades para a sua organização. O produto também tem o benefício adicional da orquestração, automação e resposta de segurança (SOAR), o que permite detecção mais rápida de ameaças e resposta automatizada a incidentes. Os outros benefícios são:

• Identificação e prevenção de ameaças internas.
• Identificação de comprometimento de contas de usuários.
• Identificação e mitigação de exfiltração de dados e prevenção de perda de dados.
• Análise de entidades.
• Uso de ML não supervisionado – funções independentes de intervenção humana.
• Pontuação de risco precisa.
• Monitoramento em tempo real e alertas.
• Alertas de risco personalizados.
• Redução dos falsos positivos.
• Gerenciamento holístico de segurança.

Portanto, antes que as coisas se compliquem, proteja sua organização com o Log360 e proteja-se contra ataques cibernéticos rapidamente. Obrigado pela leitura, pessoal!