Oi, calma, não se trata da música do Ricky Martin “Maria”, aqui vamos falar um pouco sobre UEBA!
O que é UEBA?
UEBA = User and Entity Behavior Analytics.
Em uma tradução literal, UEBA, é a análise comportamental de usuários e entidades.
Seu primeiro uso foi para as equipes de marketing, que tinham na tecnologia uma forma de obter uma análise detalhada do comportamento dos consumidores e podiam prever os hábitos de compra.
Com o tempo, foi percebido que essa ideia também poderia ser aplicada no contexto da segurança cibernética.
A análise de comportamento de usuários e entidades (UEBA) ou detecção de anomalias é uma técnica de segurança cibernética que usa algoritmos de máquina para detectar atividades anômalas de usuários, hosts e outras entidades em uma rede.
Para detectar anomalias, o UEBA primeiro aprende sobre o comportamento esperado de todos os usuários e entidades em uma rede e cria uma linha de base de atividades regulares para cada um deles. Qualquer atividade que se desvie dessa linha de base é sinalizada como uma anomalia. As soluções UEBA se tornam mais eficazes quanto mais experiência ganham.
Benefícios da UEBA:
Defenda-se contra ameaças internas, comprometimento de contas e exfiltração de dados.
Uma pontuação de risco é calculada para cada usuário e entidade na organização após comparar suas ações com sua linha de base de atividades regulares.
A pontuação de risco pode variar de 0 a 100, indicando nenhum risco até o máximo risco, respectivamente.
A pontuação de risco depende de fatores como o peso atribuído da ação, a extensão do desvio da linha de base, a frequência do desvio e o tempo decorrido desde o desvio.
Aqui estão algumas atividades que podem aumentar a pontuação de risco de usuários e identidades, indicando possíveis ameaças internas e comprometimento de contas e exfiltração de dados, ou seja sinais de um ameaça interna:
Acessos de sistema novos ou incomuns.
Tempos de acesso incomuns.
Acessos ou modificações incomuns a arquivos.
Falhas de autenticação excessivas.
Sinais de comprometimento da conta
Software incomum em execução para um usuário.
Várias instâncias de software instaladas em um host.
Várias falhas de logon em um host.
Sinais de exfiltração de dados
Downloads de arquivos incomuns.
Múltiplas criações de discos removíveis por usuários.
Comandos incomuns executados por usuários.
Logons de host anormais.
Pontuação de risco do usuário e da entidade
A UEBA mantém uma pontuação de risco para cada perfil de usuário e entidade. Sempre que um log de atividades de um usuário/entidade difere de sua linha de base, a pontuação de risco desse perfil específico aumenta. Uma pontuação de risco aumentada de um perfil ajuda o administrador de TI a analisar o assunto imediatamente para evitar qualquer violação de segurança.
Tendências de anomalias:
Representa graficamente as variações no número de anomalias para um determinado período de tempo.
Aqui na Infosw Tecnologia, nós utilizamos a UEBA, para analisar, alarmar e mitigar os riscos de acordo com o cenário em diversos ambientes, garantindo assim um olhar de atenção ao desvio de comportamento dos usuários em redes e aplicações.
Por: Antonio Santana
Quer saber quais são os diferentes tipos de ameaças que a UEBA pode identificar? Clique aqui e mande direto para nosso formulário!