As soluções User and Entity Behavior Analytics (UEBA) são projetadas para identificar ameaças à segurança cibernética com base em comportamento anormal. Uma vez que a solução tenha uma compreensão clara de como os sistemas de uma organização funcionam normalmente, ela poderá identificar desvios que podem indicar ameaças potenciais. Por exemplo, downloads massivos e anormais de dados de um banco de dados corporativo podem indicar uma violação de dados em andamento.
Uma solução UEBA é implantada em dispositivos em toda a rede de uma organização. Durante um período após a sua implantação, a solução UEBA monitora um dispositivo e cria um perfil de uso normal. Isso inclui as atividades dos vários usuários desse dispositivo. Depois de um tempo, a UEBA tem um bom modelo do que é considerado comportamento normal e anormal. Neste ponto, ele pode fazer a transição do modo de aprendizagem para o modo ativo.
Enquanto está em modo ativo, a solução UEBA monitoriza diversas ações e avalia-as com base no seu modelo de comportamento normal. Se observar uma atividade anômala, poderá alertar um administrador e potencialmente desencadear uma resposta projetada para bloquear a ameaça potencial.
Por exemplo, um usuário na organização normalmente passa a maior parte do dia de trabalho editando documentos e navegando na Internet. Se a sua conta começar repentinamente a fazer solicitações a outros sistemas e a explorar a rede, a solução UEBA poderá gerar um alerta. Embora esta mudança na atividade possa ser benigna, também pode indicar que as credenciais do usuário foram comprometidas por um invasor. Se for esse o caso, o aviso fornecido pela solução da UEBA dá à organização a oportunidade de resolver o problema.
Se um invasor tiver acesso à conta de um usuário, talvez não precise usar malware e técnicas semelhantes para atingir seus objetivos. Isto pode representar desafios para algumas soluções de segurança concebidas para detectar este tipo de conteúdo malicioso.
No entanto, é provável que um invasor tome ações que se desviem da norma ao atingir seus objetivos. Por exemplo, uma violação de dados não pode ser realizada sem acesso aos dados, e o ransomware envolve um grande número de operações de arquivos. Uma solução da UEBA pode identificar e relatar essas atividades desviantes, permitindo que as organizações detectem ataques na ausência de malware ou conteúdo malicioso.
A UEBA oferece vários benefícios ao centro de operações de segurança (SOC) de uma organização, incluindo os seguintes:
A UEBA e a análise de tráfego de rede (NTA) — também conhecida como detecção e resposta de rede (NDR) — podem identificar algumas das mesmas ameaças e ambas usam técnicas semelhantes, como aprendizado de máquina (aprendizado de máquina, ML) e dados análise. No entanto, eles não são a mesma solução. Por exemplo, a NTA pode proporcionar uma visibilidade mais ampla dos eventos na rede de uma organização, não apenas daqueles que são rotulados como anómalos. Por outro lado, as soluções UEBA fornecem visibilidade de eventos locais em dispositivos monitorados, enquanto o NTA só tem visibilidade de eventos no nível da rede.
As soluções UEBA e de gerenciamento de eventos e informações de segurança (SIEM) usam aprendizado de máquina (aprendizado de máquina, ML) e análise de dados para identificar ameaças. No entanto, são soluções diferentes concebidas para identificar diferentes tipos de ameaças.
Em geral, as soluções SIEM são mais capazes de identificar ameaças pontuais e menos sofisticadas e estão focadas na gestão da segurança. No entanto, podem não ter visibilidade de campanhas de ataque mais sofisticadas e sutis.
As soluções da UEBA, por outro lado, concentram-se mais na construção de perfis de usuários e dispositivos e na busca de desvios desses perfis. Isso lhes permite identificar ataques mais sutis e detectar ameaças internas que um SIEM pode não perceber.
Uma solução UEBA fornece recursos valiosos que complementam outras soluções na pilha de segurança de uma organização. Ao detectar e relatar comportamentos anômalos que podem estar ligados a um ataque potencial, a UEBA permite que a equipe de segurança de uma organização detecte ameaças internas e outros ataques que podem ser ignorados por outras soluções focadas na identificação e bloqueio de conteúdo malicioso.
Os recursos da UEBA devem fazer parte de uma plataforma de segurança integrada da empresa. O Check Point Infinity XDR(detecção e resposta estendidas) oferece UEBA juntamente com uma série de outros recursos de segurança. Saiba mais sobre toda a gama de recursos do Infinity XDR neste resumo da solução. Então, para saber mais sobre como o Infinity XDR pode ajudar a proteger sua organização contra ameaças avançadas à segurança, inscreva-se hoje mesmo para obter um demo gratuito.