Obter licença de 45 dias

Para detectar anomalias, o UEBA primeiro aprende sobre o comportamento esperado de todos os usuários e entidades em uma rede e cria uma linha de base de atividades regulares para cada um deles. Qualquer atividade que se desvie dessa linha é sinalizada como uma anomalia. As soluções UEBA tornam-se mais eficazes à medida que ganham mais experiência.

Por que você precisa de uma solução UEBA?

As ameaças internas referem-se a qualquer atividade maliciosa enfrentada pelas organizações devido às ações de usuários com acesso legítimo à rede, bancos de dados e aplicações.

Mais de 34% das empresas em todo o mundo são afetadas anualmente por ameaças internas.

Nos últimos dois anos, o número de incidentes internos aumentou 44%

Quase 66% das organizações consideram ataques internos mal-intencionados ou violações acidentais mais prováveis do que ataques externos.

O custo por ameaça interna em 2022 foi US$ 15,38 milhões

 

É tão importante proteger sua organização contra ameaças internas quanto externas.

Uma solução UEBA aproveita a previsibilidade do comportamento humano para detectar e identificar o comportamento anômalo de usuários em máquinas e outras entidades na rede, o que pode indicar um ataque interno. Ela também aborda roteadores, servidores e terminais na rede. Além de uma ampla variedade de ataques internos, também pode ajudá-lo a detectar ataques DDoS, ataques de força bruta e extração de dados.

Como uma solução UEBA funciona

Monitorar de perto o comportamento de uma pessoa pode revelar muito sobre suas verdadeiras intenções. Esse é o conceito que a UEBA trabalha. Ela monitora de perto as atividades de cada usuário e entidade dentro da rede e aprende suas características. Geralmente, trabalha junto com uma solução SIEM usando logs de atividades para estudar o comportamento usual de usuários e entidades.

ueba solution

Uma pontuação de risco é calculada para cada usuário e entidade na organização depois de comparar suas ações com sua linha de base de atividades regulares. A pontuação geralmente varia de 0 a 100, indicando nenhum risco a risco máximo, respectivamente, dependendo de fatores como o peso atribuído da ação, a extensão do desvio da linha de base, a frequência do desvio e o tempo decorrido desde que aconteceu.

Defenda-se contra ameaças internas, comprometimento de conta, extração de dados e anomalias de logon com UEBA

Aqui estão algumas atividades que podem aumentar a pontuação de risco de usuários ou entidades, indicando possíveis ameaças internas, comprometimento de conta, extração de dados ou anomalias de logon.

Sinais de uma ameaça interna

  • Acessos novos ou incomuns ao sistema
  • Horários de acesso incomuns
  • Acessos ou modificações incomuns de arquivos
  • Falhas de autenticação excessivas

Sinais de comprometimento da conta

  • Software incomum em execução para um usuário
  • Várias instâncias de software instaladas em um host
  • Inúmeras falhas de logon em um host

Sinais de extração de dados

  • Um número ou tipo incomum de downloads de arquivos
  • Múltiplas criações de discos removíveis por usuários
  • Comandos incomuns executados por usuários
  • Logons de host anormais

Sinais de anomalias de logon

  • Várias falhas de login
  • Login bem-sucedido após várias falhas de login
  • Tentativas de login em horários incomuns
  • Logins de locais incomuns
  • Logins não autorizados ou tentativas de login

UEBA
NOS BASTIDORES

Existem dois métodos para configurar um sistema UEBA:

ML supervisionado

No método ML supervisionado, o sistema UEBA é alimentado com a lista de comportamentos bons e ruins conhecidos. Essa lista é limitada e, portanto, pode não ter conhecimento adequado para detectar comportamento anômalo. O sistema desenvolve ainda mais essas entradas e detecta comportamentos anômalos na rede.

e

ML não supervisionado

No método ML não supervisionado, o sistema UEBA passa por um "treinamento" para aprender o comportamento normal de cada usuário e entidade. Este método é indiscutivelmente o melhor porque o sistema estuda o comportamento cotidiano de usuários e entidades por conta própria.

  • Análise robusta dos
    componentes principais
  • Cadeias de Markov

Análise robusta de componentes principais (RPCA)

RPCA, uma variação da técnica de análise de componentes principais amplamente utilizada, é um modelo estatístico que usa transformação ortogonal para converter um conjunto de observações de variáveis possivelmente correlacionadas (pontos de dados) em variáveis linearmente não correlacionadas chamadas de componentes principais. A linha de melhor ajuste é estabelecida para o conjunto de componentes principais, e os pontos de dados que se desviam dessa linha são denominados anômalos.

Cadeias de Markov

Uma cadeia de Markov é uma sequência de eventos estocásticos onde a probabilidade do próximo evento em uma cadeia depende apenas do estado do atual. Um fluxo de trabalho é criado determinando o estado sucessivo de ocorrências de eventos. À medida que cada um ocorre, ele é comparado com a sequência prevista. Se algum evento se desviar do fluxo de trabalho previsto, é considerado uma anomalia e a pontuação de risco da entidade correspondente é aumentada.

Benefícios de uma solução UEBA

  • Ele pode oferecer melhor proteção contra explorações de zero-day para as quais ainda não existem "assinaturas" conhecidas.
  • As atividades de cada usuário e entidade são comparadas com sua linha de base correspondente ou "média" e, portanto, o número de falsos positivos e falsos negativos será reduzido quando comparado aos mecanismos de alerta baseados em regras.
  • As soluções SIEM tradicionais tratam contratempos de segurança como incidentes isolados e enviam alertas, enquanto as soluções UEBA analisam a segurança de forma holística e calculam as pontuações de risco para cada usuário, reduzindo alertas falsos como resultado.
  • Uma solução UEBA pode detectar movimentos laterais maliciosos de longo prazo com mais eficiência do que soluções SIEM, e a pontuação de risco ajuda a manter isso sob controle.
  • Não há dependência de administradores de TI para desenvolver limites ou regras de correlação para identificar ameaças.
  • A pontuação de risco permite que os especialistas em segurança se concentrem nos alertas de alto risco mais confiáveis.

Como escolher uma solução UEBA

Uma solução UEBA eficaz deve ter os seguintes recursos:

Análise de agrupamento de pares

O agrupamento de pares é o processo pelo qual você agrupa usuários e hosts em grupos de pares distintos com base em seu comportamento anterior. Se sua plataforma de análise de segurança adotar esta análise, ela poderá determinar se um usuário ou host se comporta conforme o esperado com base nos grupos em que está. Caso contrário, o sistema acionará um alerta de anomalia. Ao fazer isso, além de comparar o comportamento de um usuário ou host com sua própria linha de base, a análise do grupo de pares ajuda a reduzir o número de falsos positivos.

Relatórios acionáveis

Os dados coletados devem ser consolidados de forma eficiente em relatórios fáceis de visualizar, e a geração de relatórios acionáveis é outra função crítica de uma solução UEBA. A revisão regular deles ajuda a detectar sinalizações falsas na rede e fornece informações sobre como personalizar uma solução UEBA para cumprir as normas de segurança de uma organização.

Modelos de anomalia personalizáveis

Todos os sistemas de detecção de anomalias oferecem modelos integrados. Esses são algoritmos de machine learning que aprendem a linha de base da atividade esperada para cada usuário e host na rede. Se a solução UEBA permitir que você treine seu próprio modelo de anomalia, ele será chamado de modelo personalizável. Isso permite que você atenda melhor à situação de segurança específica da sua empresa.

Alertas em tempo real

Com alertas, você pode receber notificações sobre anomalias que acontecem na rede em tempo real. Por exemplo, você pode receber um e-mail de notificação assim que um incidente for identificado. Com alertas em tempo real, você não precisará fazer logon em sua solução UEBA para verificar se há um novo risco ao qual sua rede está exposta.

Coleta e análise de dados

Uma solução UEBA deve coletar e analisar adequadamente os dados de usuários, máquinas e outras entidades em uma rede, como logs de eventos e dados de captura de pacotes. O monitoramento contínuo e a análise de dados de diferentes fontes ajudarão a detectar anomalias de forma fácil e instantânea.

Pontuação de risco precisa

A solução UEBA deve ser capaz de atribuir um risco a cada usuário e host na rede para representar o grau de risco representado por uma entidade. A pontuação de risco depende da extensão e do tipo de anomalias que o usuário ou host aciona.