Para detectar anomalias, o UEBA primeiro aprende sobre o comportamento esperado de todos os usuários e entidades em uma rede e cria uma linha de base de atividades regulares para cada um deles. Qualquer atividade que se desvie dessa linha é sinalizada como uma anomalia. As soluções UEBA tornam-se mais eficazes à medida que ganham mais experiência.
As ameaças internas referem-se a qualquer atividade maliciosa enfrentada pelas organizações devido às ações de usuários com acesso legítimo à rede, bancos de dados e aplicações.
Mais de 34% das empresas em todo o mundo são afetadas anualmente por ameaças internas.
Nos últimos dois anos, o número de incidentes internos aumentou 44%
Quase 66% das organizações consideram ataques internos mal-intencionados ou violações acidentais mais prováveis do que ataques externos.
O custo por ameaça interna em 2022 foi US$ 15,38 milhões
É tão importante proteger sua organização contra ameaças internas quanto externas.
Uma solução UEBA aproveita a previsibilidade do comportamento humano para detectar e identificar o comportamento anômalo de usuários em máquinas e outras entidades na rede, o que pode indicar um ataque interno. Ela também aborda roteadores, servidores e terminais na rede. Além de uma ampla variedade de ataques internos, também pode ajudá-lo a detectar ataques DDoS, ataques de força bruta e extração de dados.
Monitorar de perto o comportamento de uma pessoa pode revelar muito sobre suas verdadeiras intenções. Esse é o conceito que a UEBA trabalha. Ela monitora de perto as atividades de cada usuário e entidade dentro da rede e aprende suas características. Geralmente, trabalha junto com uma solução SIEM usando logs de atividades para estudar o comportamento usual de usuários e entidades.
Uma pontuação de risco é calculada para cada usuário e entidade na organização depois de comparar suas ações com sua linha de base de atividades regulares. A pontuação geralmente varia de 0 a 100, indicando nenhum risco a risco máximo, respectivamente, dependendo de fatores como o peso atribuído da ação, a extensão do desvio da linha de base, a frequência do desvio e o tempo decorrido desde que aconteceu.
Aqui estão algumas atividades que podem aumentar a pontuação de risco de usuários ou entidades, indicando possíveis ameaças internas, comprometimento de conta, extração de dados ou anomalias de logon.
Existem dois métodos para configurar um sistema UEBA:
No método ML supervisionado, o sistema UEBA é alimentado com a lista de comportamentos bons e ruins conhecidos. Essa lista é limitada e, portanto, pode não ter conhecimento adequado para detectar comportamento anômalo. O sistema desenvolve ainda mais essas entradas e detecta comportamentos anômalos na rede.
e
No método ML não supervisionado, o sistema UEBA passa por um "treinamento" para aprender o comportamento normal de cada usuário e entidade. Este método é indiscutivelmente o melhor porque o sistema estuda o comportamento cotidiano de usuários e entidades por conta própria.
RPCA, uma variação da técnica de análise de componentes principais amplamente utilizada, é um modelo estatístico que usa transformação ortogonal para converter um conjunto de observações de variáveis possivelmente correlacionadas (pontos de dados) em variáveis linearmente não correlacionadas chamadas de componentes principais. A linha de melhor ajuste é estabelecida para o conjunto de componentes principais, e os pontos de dados que se desviam dessa linha são denominados anômalos.
Uma cadeia de Markov é uma sequência de eventos estocásticos onde a probabilidade do próximo evento em uma cadeia depende apenas do estado do atual. Um fluxo de trabalho é criado determinando o estado sucessivo de ocorrências de eventos. À medida que cada um ocorre, ele é comparado com a sequência prevista. Se algum evento se desviar do fluxo de trabalho previsto, é considerado uma anomalia e a pontuação de risco da entidade correspondente é aumentada.
Uma solução UEBA eficaz deve ter os seguintes recursos:
O agrupamento de pares é o processo pelo qual você agrupa usuários e hosts em grupos de pares distintos com base em seu comportamento anterior. Se sua plataforma de análise de segurança adotar esta análise, ela poderá determinar se um usuário ou host se comporta conforme o esperado com base nos grupos em que está. Caso contrário, o sistema acionará um alerta de anomalia. Ao fazer isso, além de comparar o comportamento de um usuário ou host com sua própria linha de base, a análise do grupo de pares ajuda a reduzir o número de falsos positivos.
Os dados coletados devem ser consolidados de forma eficiente em relatórios fáceis de visualizar, e a geração de relatórios acionáveis é outra função crítica de uma solução UEBA. A revisão regular deles ajuda a detectar sinalizações falsas na rede e fornece informações sobre como personalizar uma solução UEBA para cumprir as normas de segurança de uma organização.
Todos os sistemas de detecção de anomalias oferecem modelos integrados. Esses são algoritmos de machine learning que aprendem a linha de base da atividade esperada para cada usuário e host na rede. Se a solução UEBA permitir que você treine seu próprio modelo de anomalia, ele será chamado de modelo personalizável. Isso permite que você atenda melhor à situação de segurança específica da sua empresa.
Com alertas, você pode receber notificações sobre anomalias que acontecem na rede em tempo real. Por exemplo, você pode receber um e-mail de notificação assim que um incidente for identificado. Com alertas em tempo real, você não precisará fazer logon em sua solução UEBA para verificar se há um novo risco ao qual sua rede está exposta.
Uma solução UEBA deve coletar e analisar adequadamente os dados de usuários, máquinas e outras entidades em uma rede, como logs de eventos e dados de captura de pacotes. O monitoramento contínuo e a análise de dados de diferentes fontes ajudarão a detectar anomalias de forma fácil e instantânea.
A solução UEBA deve ser capaz de atribuir um risco a cada usuário e host na rede para representar o grau de risco representado por uma entidade. A pontuação de risco depende da extensão e do tipo de anomalias que o usuário ou host aciona.