O que é a UEBA?
A análise de comportamento de usuários e entidades (UEBA) é um conjunto de recursos de segurança cibernética que emprega análise de dados e aprendizado de máquina (ML) para detectar comportamentos incomuns e potencialmente perigosos de usuários, dispositivos e outras entidades. Cunhado pela Gartner em 2015, o termo expande o conceito de análise de comportamento de usuários (UBA), adicionando o comportamento de dispositivos e entidades, que podem variar de servidores e roteador a smartphones e dispositivos de internet das coisas (IoT) .
A UEBA determina o comportamento típico de usuários e de dispositivos, identifica desvios desse comportamento e pontua os desvios de acordo com o risco de segurança. Assim, por exemplo, um funcionário normalmente pode fazer login no e-mail em nuvem todas as manhãs às 8h PT de São Francisco. Se esse mesmo funcionário fizer login em um banco de dados de clientes em Londres apenas algumas horas depois e começar a baixar grandes quantidades de informações confidenciais e proprietárias, a UEBA identificará isso como um comportamento anômalo e potencialmente de alto risco.
Ao examinar uma ampla gama de comportamentos e destacar as divergências do que é típico, a UEBA pode desempenhar um papel vital nos esforços de caça a ameaças e gerenciamento de risco de uma organização. A UEBA pode aumentar os recursos de segurança existentes, dar suporte a um modelo de segurança Zero Trust e ajudar as organizações a manter a conformidade com os requisitos regulatórios.
Como funciona a UEBA?
Os recursos da UEBA primeiro estabelecem uma linha de base para o comportamento típico de usuários e dispositivos, observando uma ampla variedade de dados, como:
- atividade do usuário — tentativas de login, acesso a arquivos, uso de aplicativos e comandos do sistema
- tráfego de rede, — como endereços de IP de origem e destino, portas e protocolos
- dados de autenticação — sucessos e falhas de login
Esses dados podem vir de uma variedade de plataformas ou ferramentas, incluindo: gateways seguros da web , serviços de acesso à rede Zero Trust , serviços de prevenção de perda de dados (DLP) , firewalls, roteadores, VPNs, soluções de gerenciamento de identidade e acesso (IAM) , sistemas de detecção e prevenção de intrusão (IDPS), software antivírus e bancos de dados de autenticação, entre outras fontes. Esses serviços e soluções de segurança podem fazer parte das plataformas de serviço de acesso seguro de borda (SASE) e serviço de segurança de borda (SSE) .
Os recursos de ML aprendem com dados ingeridos continuamente e refinam a linha de base de comportamento ao longo do tempo. (A Cloudflare usa uma abordagem semelhante para o gerenciamento de bots, medindo o comportamento típico em um aplicativo web e, em seguida, comparando novas interações com essa linha de base para identificar bots).
Ao coletar e analisar dados, os modelos UEBA podem detectar qualquer comportamento que se desvie dos padrões normais ou das políticas de segurança de uma organização. Por exemplo, esses recursos perceberiam se um usuário fizesse login em um local diferente do normal, em um horário atípico. Esse comportamento pode indicar que as credenciais de um funcionário foram roubadas.
Quando os recursos da UEBA identificam qualquer comportamento incomum ou suspeito, eles atribuem uma pontuação de risco do usuário com base no risco que o comportamento representa para a organização. Algumas tentativas fracassadas de login durante o dia de trabalho podem receber uma pontuação baixa, o usuário provavelmente esqueceu uma senha. Mas outros desvios de comportamento podem sinalizar comprometimento de conta, violações de políticas da empresa ou violação de dados. Exemplos de comportamentos de risco que podem desencadear ações de mitigação de riscos relacionadas à UEBA incluem:
- Viagem impossível: quando um usuário realiza um login a partir de dois locais diferentes em um período de tempo que não é fisicamente possível (por exemplo, a funcionária "Alice" de Nova York faz login no sistema de folha de pagamento de sua organização, mas alguns minutos depois faz o login no pacote de produtividade em nuvem de Sydney)
- Violações de prevenção de perda de dados (DLP): quando informações de negócios confidenciais, informações de identificação pessoal ou outras movimentações de dados confidenciais são tratadas incorretamente (por exemplo, se um funcionário fizer upload de dados proprietários da empresa em um chatbot de IA de terceiros).
- Uso de dispositivos arriscados: como funcionários remotos que usam notebooks que não possuem as atualizações mais recentes do sistema operacional ou o uso de roteadores com vulnerabilidades não corrigidas
Casos de uso da UEBA
A UEBA pode oferecer suporte a vários casos de uso táticos e estratégicos.
-
Segurança ZeroZero Trust: o Zero Trust é um modelo de segurança de TI que verifica a identidade de todas as pessoas e dispositivos que tentam acessar aplicativos ou dados em uma rede corporativa. Os recursos da UEBA poderiam complementar, ou ser um componente de uma solução de acesso à rede Zero Trust (ZTNA) . Com os recursos da UEBA, as equipes de segurança podem ver quem está acessando a rede, quais dispositivos estão usando e se os usuários e dispositivos estão violando alguma política. As equipes podem conceder acesso com base no contexto de uma solicitação e avaliando se uma solicitação está de acordo com os comportamentos típicos do usuário.
- Endpoints comprometidos: os invasores pode encontrar maneiras de se infiltrar em dispositivos móveis ou de IoT , que geralmente são menos protegidos do que os servidores ou os aplicativos corporativos. Ao monitorar o comportamento dos dispositivos, a UEBA pode descobrir dispositivos comprometidos antes que o invasor possa penetrar mais profundamente na rede corporativa.
- Ameaças internas: a análise de comportamento pode ajudar a identificar insiders maliciosos, como usuários que tentam atacar uma rede corporativa ou roubar dados confidenciais. Ao mesmo tempo, a UEBA pode ajudar a determinar quando as credenciais ou dispositivos de um usuário foram comprometidos: por exemplo, por meio de um ataque de phishing ou roubo de dispositivo. A UEBA pode detectar comportamentos atípicos, mesmo quando credenciais legítimas foram empregadas.
- Conformidade regulatória: uma organização pode implementar a UEBA para ajudar a manter a conformidade com normas ou regulamentos, como os regulamentos que regem a segurança de TI e a privacidade de dados para organizações de serviços financeiros ou de saúde. Ao identificar comportamentos de usuários e dispositivos que se desviam das políticas ou normas estabelecidas, a UEBA pode detectar problemas antes que a organização coloque em risco a conformidade com regras e regulamentos críticos.
Quais são os benefícios do UEBA?
A implementação da UEBA pode beneficiar as organizações de várias maneiras.
- Redução de risco: como a UEBA pode ser aplicada a quaisquer usuários e dispositivos conectados a uma rede, ela pode ajudar a reduzir os riscos, mesmo à medida que a superfície de ataque de uma organização se expande. A UEBA pode analisar o comportamento dos usuários independentemente de os funcionários estarem trabalhando em casa, no escritório ou em outro lugar. Enquanto isso, também pode monitorar o comportamento de dispositivos em qualquer lugar: por exemplo, servidores e roteador em data centers corporativos, dispositivos de IoT em fábricas ou dispositivos médicos em hospitais.
- Detecção de ameaças aprimorada: a UEBA pode ajudar a identificar e impedir vários tipos de ameaças, incluindo ameaças internas, contas comprometidas, tentativas de quebra de senha com força bruta, ataques de negação de serviço distribuída (DDoS) e outros.
- Menos necessidade de análise manual: os recursos de ML e automação ajudam a reduzir o trabalho demorado da equipe de operações de segurança (SecOps) de analisar dados de log para identificar ameaças legítimas. Os membros das equipes de TI e segurança podem se concentrar em outras tarefas.
- Conformidade sustentada: a UEBA permite que as organizações mantenham a conformidade ao identificar comportamentos problemáticos rapidamente, antes que levem a violações em larga escala. Por meio de monitoramento e análise contínuos, as organizações também podem simplificar a auditoria e possivelmente evitar esforços de remediação caros e em grande escala.
- Custos mais baixos: ao identificar a ameaça antecipadamente, as organizações podem evitar os altos custos das violações.
Quais são as desvantagens do UEBA?
Embora existam muitos possíveis benefícios da implementação da UEBA, as organizações também devem estar cientes das possíveis desvantagens. Por exemplo:
- Custos: algumas soluções de UEBA independentes podem ser muito caras para empresas de pequeno e médio porte.
- Complexidade: embora os recursos de ML e automação reduzam a necessidade de análise humana de logs de eventos, a definição de políticas e o envio de alertas ainda requerem analistas de segurança.
- Limitações: a UEBA pode identificar uma ampla gama de ameaças, mas ainda deve ser integrada a outros recursos para um gerenciamento de riscos unificado mais abrangente.
Como a UEBA complementa o SIEM
Os recursos da UEBA complementam as soluções de gerenciamento de eventos e informações de segurança (SIEM) oferecendo:
- Foco nos usuários: enquanto o SIEM analisa eventos, a UEBA examina o comportamento de usuários e dispositivos, o que pode ajudar a avaliar os riscos do usuário e detectar ameaças internas.
- Rastreamento de ameaças no longo prazo: o SIEM identifica eventos de segurança em tempo real. A UEBA complementa esse trabalho identificando ameaças em evolução no longo prazo por meio do monitoramento e pontuação de comportamentos contínuos.
- Aprendizado e adaptação contínuos: a UEBA usa análises comportamentais e ML para facilitar o aprendizado e a adaptação ao longo do tempo. Como resultado, os modelos UEBA podem aprimorar os recursos do SIEM , identificando ameaças novas e emergentes sem exigir intervenção humana.
A combinação dos recursos de SIEM e UEBA pode melhorar a visibilidade da segurança e fortalecer a capacidade de uma organização de identificar e deter as ameaças, ao mesmo tempo em que mantém a conformidade. Várias soluções de SIEM incorporam recursos da UEBA.
UEBA vs. EDR
As soluções de UEBA e resposta de detecção de endpoints (EDR) têm várias semelhanças. Ambas monitoram uma variedade de endpoints, incluindo desktops, notebooks, smartphones e dispositivos de IoT . Além disso, as soluções de EDR, como a UEBA, podem usar análises comportamentais e ML para detectar comportamentos atípicos e suspeitos.
No entanto, a UEBA também pode complementar e expandir a funcionalidade das soluções de EDR analisando o comportamento dos usuários nos endpoints.
A Cloudflare é compatível com o UEBA?
A UEBA é um componente-chave da Cloudflare para postura de risco unificada, um conjunto de recursos que convergem SASE e soluções de segurança de aplicativos web e APIs (WAAP) por meio de uma única plataforma.
A Cloudflare permite que as empresas implementem avaliação, troca e aplicação de postura de risco automatizadas e dinâmicas em toda a sua superfície de ataque em expansão, ao mesmo tempo que reduz a complexidade de gerenciamento.
Saiba mais sobre o Cloudflare for Unified Risk Posture.