UEBA OLHA DIRETO PARA O COMPORTAMENTO COMO FORMA DE APROFUNDAR O NÍVEL DE SEGURANÇA

Até pouco tempo, apesar de todas as ferramentas tecnológicas disponíveis, pensar em segurança da informação não era muito diferente do raciocínio da era medieval quando se tomava todas as precauções contra invasões externas. Naquela época, os castelos eram construídos com muralhas reforçadas, torres de proteção e uma série de armas eram disponibilizadas com o objetivo de expulsar os invasores. As empresas modernas iam na mesma linha, com os famosos firewalls e todo um arsenal voltado para transformar o ambiente interno em uma fortaleza invencível.

Ocorre que rapidamente o ambiente corporativo mudou totalmente e agora não basta mais reprimir as investidas de quem vem de fora. Os novos tempos exigem um olhar cuidadoso sobre absolutamente todas as movimentações que envolvam dados estratégicos da companhia. Não basta mais blindar os muros porque os dados não estão mais somente dentro do castelo. Eles agora estão na nuvem, são acessados de qualquer lugar, da casa dos colaboradores, da rua. São compartilhados a todo momento e isto mudou totalmente a forma de pensar em segurança da informação.

Foi neste contexto que surgiu o conceito de UEBA. É uma sigla que se refere à análise do comportamento de usuários e “entidades” (que podem ser dispositivos na rede). Por intermédio dele, os usuários internos são monitorados constantemente e em função de suas ações. Neste caso elas podem estar sendo feitas por eles mesmos ou por alguém que se apropriou de suas credenciais, por exemplo.

Estas movimentações são confrontadas com regras e políticas estabelecidas. Dessa forma um grau de risco é atribuído a cada usuário. Da mesma forma dispositivos são monitorados em relação ao seu comportamento. Cada equipamento tem sua função e padrão de uso definido. Quando um deles está realizando algo para o qual não foi designado, imediatamente uma luz amarela se acende. Um roteador que reinicia sozinho na madrugada é visto como um comportamento suspeito. Da mesma forma que um sensor qualquer passar a receber, de uma hora para outra, uma quantidade de acessos em volume igual ou maior que o volume de dados que ele envia. Os sistemas desenvolvidos com o conceito UEBA também são capazes de entender que é passível de questionamento quando um usuário que não grava arquivos em mídias removíveis passa a fazer isso de forma inesperada acessando estas informações fora do horário de trabalho.

Após detectar essas ações fora do padrão os sistemas desenvolvidos no formato UEBA contextualizam as análises e assim tornam muito significativo os eventos de segurança.

A Forcepoint tem uma solução bastante abrangente contendo sofisticações úteis e interessantes. O contexto de um evento gerado por um usuário é totalmente definido por várias formas, entre elas, por meio da captura de sua sessão de uso do dispositivo (imagens e vídeo), acesso à rede, email, etc. Estes dados podem ser usados para análise forense de incidente ou mesmo para a atribuição do grau de risco do usuário e disso decorrer maior acompanhamento das ações ou restrição de alguns acessou ou privilégios deste usuário.

A companhia enxerga a abordagem analítica de forma tão importante quanto a defensiva para as estratégias de cibersegurança, com a tecnologia UEBA sendo crucial para a mitigação dos riscos.

“Hoje, UEBA é a tecnologia mais poderosa contra insiders, uma vez que traça o histórico do comportamento dos usuários e aplica seus recursos de aprendizagem para estabeler o comportamento normal de cada um para colocar em visualização de risco qualquer atividade fora do padrão. Essa poderosa tecnologia, aliada à experiência da Forcepoint em proteger mais de 1 milhão de usuários, tanto de agências governamentais como das maiores empresas do mundo, capacita nossa solução a obter uma melhor auditoria de comportamento do mercado”, afirma William Rodrigues, Sr Sales Engineer da Forcepoint.