Análise de comportamento de usuários e entidades (UEBA)

Os ataques cibernéticos estão em constante evolução e os hackers modernos podem contornar os sistemas de segurança convencionais com o mínimo de esforço. Os invasores continuam encontrando novas maneiras de invadir firewalls, enviar programas maliciosos e até mesmo subornar funcionários para realizar ataques internos. Os sistemas de segurança convencionais estão rapidamente a tornar-se obsoletos e vulneráveis a novas tendências de ataques.

Se você observar os ataques infames do passado, descobrirá que não houve dois ataques da mesma maneira. Ainda assim, existem algumas estratégias e táticas defensivas frequentemente utilizadas porque se mostraram eficazes. Uma maneira eficiente de se manter protegido é equipar-se com técnicas de aprendizado de máquina que possam identificar todos os tipos de anomalias de segurança em sua organização.

O que é o UEBA?

As soluções de análise de comportamento de usuários e entidades (UEBA) estabelecem o comportamento normal de usuários e máquinas dentro de uma organização e identificam qualquer comportamento anormal. Eles são projetados para processar grandes quantidades de dados de firewalls, roteadores, estações de trabalho, bancos de dados, servidores de arquivos e outros dispositivos, a fim de criar um modelo de comportamento para cada usuário e entidade.

Qualquer atividade que se desvie deste modelo é sinalizada como anormal e depois avaliada quanto a riscos potenciais. Esta avaliação do risco está diretamente correlacionada com uma pontuação de risco que decide a resposta à ameaça. Quanto mais anormal for o comportamento, maior será a pontuação de risco. Além disso, o administrador de TI pode analisar o problema a partir de um painel e tomar medidas, se necessário.

O que a UEBA pode fazer?

O UEBA está ajustada para detectar ataques internos, contas comprometidas, abuso de privilégios, violações de políticas e ataques de força bruta, entre outras ameaças potenciais. Um evento ligeiramente anormal por si só não resultará num alerta de segurança. O sistema requer vários sinais de comportamento anormal para criar um alerta. Tem a capacidade de correlacionar múltiplas atividades distintas que podem estar relacionadas a um único incidente de segurança, que não é perceptível a olhos destreinados.

As soluções da UEBA também podem integrar as informações que geram com os sistemas de monitoramento de segurança existentes. Alimentadas por aprendizado de máquina e algoritmos estatísticos, as soluções da UEBA tornam-se mais eficazes à medida que processam cada vez mais dados.