This post is also available in: Português
Dentro de uma empresa, existem atividades rotineiras que cada colaborador exerce todos os dias. A maioria das tarefas é tão previsível e esperada que é possível determinar um conjunto de atividades padrão para cada funcionário, no qual é relativamente fácil de identificar quando a pessoa age diferente. E, quando o assunto é segurança digital, comportamentos fora do comum exigem atenção.
É com essa proposta que ganha projeção a metodologia User Behavior Analytics (UBA), que traduzindo significa Análise de Comportamento do Usuário. Essa tecnologia procura padrões de uso que indiquem comportamento incomum ou anormal – algo que não se resume a funcionários. Afinal, seu rastreamento pode incluir ações provenientes de crackers, malwares ou algum processo interno da empresa.
Um ponto relevante é que a UBA não foca apenas em IP ou Hosts, mas na análise do usuário. Assim, se um deles usa em média um tráfego de 50MB e de repente esse número passa para 1GB, o sistema criará um alerta imediatamente. Contudo, é importante ressaltar que a UBA não impede ataques, mas pode descobrir rapidamente se há uma invasão e minimizar os danos.
Descobrindo e determinando padrões
As tecnologias UBA analisam logs de dados e históricos – incluindo logs de rede e autenticação coletados e armazenados no gerenciamento de log e sistemas SIEM – para identificar padrões de tráfego oriundos dos comportamentos do usuário, diferenciando o que é normal e o que pode ser suspeito.
Embora o sistema não realize ações com base em suas descobertas, pode ser configurado para ajustar automaticamente a dificuldade de autenticação de usuários que apresentam atividade fora do comum. O UBA usa algoritmos de big data e aprendizado de máquina para avaliar esses desvios praticamente em tempo real.
Apesar de estar em alta, a tecnologia de analytics não é novidade. Sistemas do tipo surgiram no início dos anos 2000 como ferramentas para ajudar as equipes de marketing a analisar e prever os padrões de compra dos clientes. No mesmo contexto, firewalls analisam pacotes de dados e outros metadados, como endereços IP, para detectar e bloquear as invasões.
Hoje, as ferramentas de análise do comportamento do usuário têm diversos recursos avançados de criação de perfil e monitoramento de exceções, e são usadas para duas funções principais. A primeira é determinar uma linha de base das atividades normais específicas para a empresa e seus usuários individuais. A segunda é identificar desvios do normal.
Como funciona
O UBA coleta vários tipos de dados, como funções e títulos do usuário, incluindo acesso, contas e permissões; atividade do usuário e localização geográfica – e também alertas de segurança. Tais informações podem vir de atividades anteriores e atuais, e a análise considera também fatores como recursos usados, duração das sessões, conectividade e atividade do grupo para comparar o comportamento suspeito. Tudo pode ser atualizado automaticamente quando alterações são feitas nos dados, como no caso de serem adicionadas novas permissões.
Nesse contexto, é importante ressaltar que os sistemas UBA não relatam todas as anomalias como sendo arriscadas. O motivo é que eles avaliam o impacto potencial do comportamento. Assim, se estiverem envolvidos recursos menos sensíveis, ele recebe uma pontuação de baixo impacto. Se englobar algo mais crítico, como informações de identificação pessoal, por exemplo, a tendência é ganhar uma classificação de impacto mais alta. Dessa forma, pode-se priorizar o que de fato deve ser acompanhado, enquanto a UBA restringe ou aumenta sozinha a dificuldade de autenticação para quem mostrar um comportamento considerado anormal.
Por essa razão, o aprendizado de máquina da UBA permite que seja reduzida a quantidade de falsos positivos, fornecendo inteligência de risco acionável mais clara e precisa para as equipes de segurança digital.
UBA X UEBA
Dentro da lógica de análise de comportamento do usuário, existe um sistema que foi chamado de Análise de Comportamento de Usuário e Entidade (UEBA). Essencialmente, é como a UBA convencional, mas com o poder de rastrear também a atividade de dispositivos, aplicativos, servidores e dados. Assim, ao invés de considerar “apenas” dados de comportamento do usuário, essa tecnologia combina informações de comportamento de entidades. Assim, a UEBA vai além das vulnerabilidades internas, sendo designada para usar o aprendizado de máquina com o intuito de procurar todos os tipos de anomalias que podem representar ameaças. Dessa maneira, é comum ver empresas usando a UEBA em conjunto com tecnologias SIEM para analisar melhor as informações coletadas.
Seja como for, esse tipo de tecnologia deve processar uma quantidade gigante de dados conectados ao comportamento do usuário e atividades de email. Para garantir a efetiva segurança e precisão, a ferramenta precisa conseguir analisar metadados-chave e atividade de vários usuários.
Outro ponto é determinar com extrema exatidão o que é Atividade Normal. Para tanto, a UBA tem de analisar com profundidade todos os dados disponíveis – bem como enviar alertas em tempo real. O software deve poder rastrear atividades no momento em que acontecem, mesmo em ambientes com um grande número de usuários. Assim, sua capacidade de detecção de qualquer atividade criminosa deve ter meios de discernir qualquer atividade anômala, praticamente em tempo real – e não apenas com relatórios no final do dia. Do contrário, perde-se um tempo precioso – que pode ser a diferença entre um sistema seguro ou cheio de vulnerabilidades.
This post is also available in: Português
