O que é a análise de comportamento de usuários e entidades (UEBA)?
Vis?o geral
A análise de comportamento de usuários e entidades (UEBA) é um tipo de solu??o de seguran?a cibernética que usa aprendizado de máquina (ML), aprendizado profundo e análise estatística para identificar os padr?es normais de comportamento de usuários e entidades (por exemplo, hosts, aplicativos, tráfego de rede e repositórios de dados) em redes corporativas ou sistemas de computadores. Quando anomalias ou desvios desses padr?es de comportamento s?o detectados e uma pontua??o de risco ultrapassa um limite designado, uma solu??o UEBA alerta as equipes do centro de opera??es de seguran?a (SOC) sobre a existência de uma possível amea?a ou ataque cibernético em andamento.
O UEBA é uma ferramenta essencial na pilha de seguran?a cibernética de uma organiza??o moderna, especialmente porque muitas ferramentas legadas est?o se tornando obsoletas rapidamente. ? medida que os criminosos cibernéticos e os hackers se tornam mais sofisticados, eles podem contornar mais facilmente os sistemas tradicionais de defesa de perímetro, como gateways seguros da Web (SWGs), firewalls e outras ferramentas de preven??o de intrus?es.
Se você n?o está familiarizado com o UEBA, este guia está aqui para ajudá-lo a entendê-lo. A seguir, discutiremos o que é a seguran?a do UEBA, como ela funciona, a diferen?a entre a análise do comportamento do usuário (UBA) e o UEBA e as práticas recomendadas do UEBA.
Análise de comportamento de usuários e entidades (UEBA)
O que é a seguran?a do UEBA?
Muitas ferramentas legadas de seguran?a cibernética identificaram anomalias ou desvios de padr?es de comportamento usando apenas análise estatística e regras de correla??o definidas pelo usuário. Embora essas ferramentas sejam eficazes para impedir amea?as conhecidas, elas s?o obsoletas quando se trata de ataques desconhecidos ou de dia zero e amea?as internas. No entanto, com a seguran?a UEBA, as equipes de SOC podem detectar automaticamente comportamentos incomuns em redes corporativas ou sistemas de computadores inteiros sem depender de regras ou padr?es definidos pelo usuário.
O UEBA combina o poder do ML, da aprendizagem profunda e da análise estatística para fornecer às equipes de SOC um software de detec??o de amea?asmais abrangente , permitindo queas organiza??es detectem automaticamente ataques complexos em vários usuários e entidades. Além disso, uma solu??o UEBA pode agrupar dados em logs e relatórios, bem como analisar informa??es em arquivos e pacotes.
Como funciona a seguran?a do UEBA?
O UEBA funciona coletando informa??es sobre padr?es normais de comportamento de usuários e entidades nos registros do sistema. Em seguida, ele aplica métodos inteligentes de análise estatística para interpretar cada conjunto de dados e estabelecer linhas de base desses padr?es de comportamento. Estabelecer linhas de base de padr?es de comportamento é fundamental para o UEBA, pois isso permite que o sistema detecte possíveis ataques cibernéticos ou amea?as.
Com uma solu??o UEBA, os comportamentos atuais de usuários e entidades s?o continuamente comparados com suas linhas de base individuais. Em seguida, o software de inteligência contra amea?as cibernéticas UEBA calcula as pontua??es de risco e identifica se alguma anomalia ou desvio no padr?o de comportamento é arriscado. Se uma pontua??o de risco ultrapassar um determinado limite, o sistema UEBA alertará os membros da equipe do SOC.
Por exemplo, se um usuário baixar regularmente 5 MB de arquivos por dia e, de repente, come?ar a baixar arquivos no valor de gigabytes, uma solu??o UEBA identificaria esse desvio do padr?o de comportamento do usuário e alertaria a TI sobre uma possível amea?a à seguran?a.
De acordo com o Gartner, uma solu??o UEBA é definida por três atributos principais:
- Casos de uso: Uma solu??o UEBA deve ser capaz de analisar, detectar, relatar e monitorar padr?es de comportamento de usuários e entidades. E, ao contrário das solu??es pontuais do passado, a UEBA deve se concentrar em vários casos de uso, em vez de se concentrar apenas em análises especializadas, como monitoramento de host confiável ou detec??o de fraudes.
- 础苍á濒颈蝉别: Uma solu??o UEBA deve oferecer recursos avan?ados de análise que possam detectar anomalias de padr?es de comportamento usando várias abordagens de análise em um único pacote. Isso inclui modelos estatísticos e (ML), além de regras e assinaturas.
- Fontes de dados: Uma solu??o UEBA deve ser capaz de ingerir dados de atividades de usuários e entidades, tanto nativamente das fontes de dados quanto por meio de um repositório de dados existente (por exemplo, SIEM (Security Information and Event Management), data warehouse ou um data lake).
Diferen?as entre as ferramentas UBA e UEBA
Definida pelo Gartner, a UBA (User Behavior Analytics, análise do comportamento do usuário) foi a precursora da UEBA, pois era uma ferramenta de seguran?a cibernética que analisava estritamente os padr?es de comportamento do usuário em redes ou sistemas de computadores. Embora as solu??es de UBA ainda aplicassem análises avan?adas para identificar anomalias nos padr?es de comportamento, elas n?o conseguiam analisar outras entidades, como roteadores, servidores e endpoints.
Posteriormente, a Gartner atualizou a defini??o de UBA e criou a UEBA, que incluía a análise comportamental de usuários e entidades (individualmente ou em grupos de pares). As solu??es UEBA s?o mais avan?adas do que as solu??es UBA, pois usam ML e aprendizagem profunda para reconhecer ataques complexos - como amea?as internas (por exemplo, exfiltra??o de dados), amea?as persistentes avan?adas ou ataques de dia zero - em indivíduos, dispositivos e redes (incluindo redes baseadas em nuvem) em vez de depender de regras de correla??o definidas pelo usuário.
Práticas recomendadas da UEBA
Como regra geral, as ferramentas UEBA n?o devem substituir ferramentas de seguran?a cibernética ou sistemas de monitoramento preexistentes, como CASBs ou sistemas de detec??o de intrus?o (IDS). Em vez disso, a UEBA deve ser incorporada à pilha geral de seguran?a para aprimorar a postura de seguran?a geral da organiza??o. Outras práticas recomendadas do UEBA incluem:
- Garantir que somente os membros de TI designados recebam alertas do sistema UEBA.
- Considere as contas de usuários privilegiados e n?o privilegiados como potencialmente arriscadas.
- Crie novas políticas e regras levando em conta as amea?as internas e externas.
- Combine o UEBA com a análise de seguran?a de big data, como os SIEMs, para torná-los mais eficazes na detec??o e análise de amea?as complexas ou desconhecidas.
Implantar o UEBA com o CyberRes Arcsight Intelligence
Quando se trata de análise avan?ada do comportamento de usuários e entidades, o Arcsight Intelligence da CyberRes (uma linha de negócios da Micro Focus ) pode ajudar sua organiza??o a se manter protegida contra amea?as cibernéticas complexas. Fornecendo uma vis?o contextualizada dos padr?es de comportamento do usuário e da entidade em sua empresa, nossa ferramenta UEBA avan?ada oferece à sua equipe de SOC ferramentas abrangentes para visualizar e investigar amea?as - comoseja tarde demais.
Bloqueio de amea?as internas com a análise comportamental do site ArcSight
Além disso, nossos modelos de detec??o de anomalias n?o esperam os mesmos padr?es de comportamento de todos os usuários ou entidades, o que significa que você n?o terá de lidar com uma enxurrada de alertas falsos positivos. Com o uso da ArcSight Intelligence, nosso software estabelece um delineamento claro entre o comportamento incomum e as amea?as reais, utilizando a probabilidade matemática e o ML n?o supervisionado para identificar as amea?as cibernéticas com mais precis?o.
Se estiver pronto para ver como a ArcSight Intelligence utiliza uma solu??o UEBA para ajudar a sua equipe de SOC a descobrir rapidamente amea?as ocultas na sua rede corporativa, fique à vontade para solicitar uma demonstra??o hoje mesmo.
