Pontuação de risco

A avaliação de riscos é um recurso padrão da maioria das soluções de gerenciamento de informações e eventos de segurança (SIEM) e comportamento e análise de entidades de usuários (UEBA). As soluções de avaliação de riscos de segurança cibernética fornecem fluxos de trabalho de avaliação e gerenciamento de riscos em toda a rede para detectar comportamentos anormais e garantir que a postura de segurança de uma organização continue forte. Cada anomalia conhecida recebe uma pontuação de risco; quanto mais anormal for o comportamento, maior será essa pontuação. Sempre que uma anomalia for detectada, a pontuação de risco é adicionada à pontuação de risco existente do usuário ou entidade correspondente.

Uma pontuação de risco pode variar de 0 a 100, indicando nenhum risco até risco máximo, respectivamente. A pontuação do risco depende de fatores como a importância da ação do ponto de vista da segurança, extensão do desvio em relação à linha de base, frequência do desvio e tempo decorrido desde o desvio.

Além de uma pontuação de risco global, cada usuário e entidade também têm uma pontuação de risco associada para ameaças internas, comprometimento de contas e exfiltração de dados. Caso os administradores de TI acharem que a pontuação de risco de uma entidade ou usuário é muito alta, eles poderão examiná-la mais detalhadamente e tomar medidas para impedir quaisquer ameaças potenciais à organização.

Os diferentes tipos de ameaças e atividades que podem aumentar a pontuação de risco de usuários e entidades são listados abaixo.

Sinais de uma ameaça interna

• Acesso em horários incomuns
• Acesso e modificação não autorizados de arquivos
• Várias falhas de autenticação em um período específico
• Padrões anormais de acesso ao sistema

Sinais de comprometimento de conta

• Várias instâncias de software instaladas em um host
• Muitas falhas de login em um host
• Locais de acesso esporádico
• Usuário instalando softwares não autorizados

Sinais de exfiltração de dados

• Várias unidades USB conectadas por um usuário
• Comandos suspeitos executados por um usuário
• Hospedagem de logins de locais irregulares
• Padrões de download anormais

Algumas vezes, pode haver uma situação real que exija um desvio dos padrões regulares de atividade, resultando em um aumento da pontuação de risco. Para evitar falsos alarmes, as soluções de SIEM ou UEBA devem evoluir constantemente e aprender a rotina de cada usuário e entidade, ajustando o que é considerado um comportamento normal ou básico. Com estas capacidades, uma solução de SIEM ou UEBA pode reconhecer as mudanças nos padrões e reduzir a pontuação de risco se não houver indicação de ameaça.