Forcepoint promove debate sobre o conceito UEBA e análise comportamental
No final de março a empresa de segurança Forcepoint realizou em São Paulo um encontro com clientes e profissionais de segurança para apresentar e discutir o conceito de User and Entity Behavior Analytics (UEBA). Se o nome não foi totalmente explicativo para você, vamos tentar ajudar.
Pude me aprofundar neste conceito, pois eu mediei uma interessantíssima discussão, na qual aprendi muito, realizada entre os profissionais de segurança da Forcepoint, Wellington Lobo (Gerente de Canais Brasil), William Rodrigues (Senior Sales Engineer) e Ricardo Tavares (Professor coordenador de Segurança da Informação e consultor especializado em cybersecurity).
No final de março a empresa de segurança Forcepoint realizou em São Paulo um encontro com clientes e profissionais de segurança para apresentar e discutir o conceito de User and Entity Behavior Analytics (UEBA). Se o nome não foi totalmente explicativo para você, vamos tentar ajudar.
Pude me aprofundar neste conceito, pois eu mediei uma interessantíssima discussão, na qual aprendi muito, realizada entre os profissionais de segurança da Forcepoint, Wellington Lobo (Gerente de Canais Brasil), William Rodrigues (Senior Sales Engineer) e Ricardo Tavares (Professor coordenador de Segurança da Informação e consultor especializado em cybersecurity).
Durante muito tempo a
segurança foi pensada como um processo reativo, ou seja, era algo que as
empresas precisavam lidar apenas no caso de um evento, uma invasão, uma ameaça
real. Sistemas de defesa como os firewalls, incluindo os de nova geração, bem
evoluídos e sofisticados, passaram a fazer uma parte importante da tarefa de
blindar a empresa das ameaças. Mas será que isso é suficiente?
Com certeza frente aos
tipos de ameaça que existem hoje, nem um pouco! Nem sempre o “atacante” está
apenas fora da organização. Nem sempre as possíveis ameaças são previamente
conhecidas. A receita de “assinatura do ataque” já foi importante, mas hoje em
dia a abordagem deve ser bem mais minuciosa para consolidar uma proteção
efetiva.
Que fique claro que as proteções já existentes precisam permanecer, mas algo mais precisa ser considerado. Sobre isso que consiste o conceito do UEBA. A análise do comportamento de usuários e “entidades” (que podem ser dispositivos na rede), traz um nível de análise que incrementa muito o grau de segurança.
Os usuários internos são monitorados constantemente e em função de suas ações (que podem estar sendo feitas por eles ou por alguém que se apropriou de suas credenciais), são confrontadas com regras e políticas estabelecidas. Dessa forma um grau de risco é atribuído a cada usuário. Da mesma forma dispositivos são monitorados em relação ao seu comportamento. Que sentido faz um roteador reiniciar sozinho na madrugada ou porque um sensor qualquer está recebendo acessos em volume igual ou maior que o volume de dados que ele envia? E por que um usuário que não grava arquivos em mídias removíveis, ou acessando fora do horário de trabalho, está fazendo isso?
Estas ações sozinhas podem não significar nada, mas a grande inteligência do UEBA é a contextualização das análises e assim tornar muito significativo os eventos de segurança. Outra tecnologia muito importante usada pelas empresas é o SIEM (Security Information and Event Management) que gera uma massa de dados grande, que em conjunto com o UEBA, com sua inteligência, viabiliza a monitoração e determinação de riscos ou ameaças em progresso.
A Forcepoint tem uma solução bastante abrangente contendo sofisticações úteis e interessantes. O contexto de um evento gerado por um usuário é totalmente definido por várias formas, entre elas, por meio da captura de sua sessão de uso do dispositivo (imagens e vídeo), acesso à rede, email, etc. Estes dados podem ser usados para análise forense de incidente ou mesmo para a atribuição do grau de risco do usuário e disso decorrer maior acompanhamento das ações ou restrição de alguns acessou ou privilégios deste usuário.
Que fique claro que as proteções já existentes precisam permanecer, mas algo mais precisa ser considerado. Sobre isso que consiste o conceito do UEBA. A análise do comportamento de usuários e “entidades” (que podem ser dispositivos na rede), traz um nível de análise que incrementa muito o grau de segurança.
Os usuários internos são monitorados constantemente e em função de suas ações (que podem estar sendo feitas por eles ou por alguém que se apropriou de suas credenciais), são confrontadas com regras e políticas estabelecidas. Dessa forma um grau de risco é atribuído a cada usuário. Da mesma forma dispositivos são monitorados em relação ao seu comportamento. Que sentido faz um roteador reiniciar sozinho na madrugada ou porque um sensor qualquer está recebendo acessos em volume igual ou maior que o volume de dados que ele envia? E por que um usuário que não grava arquivos em mídias removíveis, ou acessando fora do horário de trabalho, está fazendo isso?
Estas ações sozinhas podem não significar nada, mas a grande inteligência do UEBA é a contextualização das análises e assim tornar muito significativo os eventos de segurança. Outra tecnologia muito importante usada pelas empresas é o SIEM (Security Information and Event Management) que gera uma massa de dados grande, que em conjunto com o UEBA, com sua inteligência, viabiliza a monitoração e determinação de riscos ou ameaças em progresso.
A Forcepoint tem uma solução bastante abrangente contendo sofisticações úteis e interessantes. O contexto de um evento gerado por um usuário é totalmente definido por várias formas, entre elas, por meio da captura de sua sessão de uso do dispositivo (imagens e vídeo), acesso à rede, email, etc. Estes dados podem ser usados para análise forense de incidente ou mesmo para a atribuição do grau de risco do usuário e disso decorrer maior acompanhamento das ações ou restrição de alguns acessou ou privilégios deste usuário.
O conceito do UEBA
pode ser ainda explorado no texto abaixo, de autoria da Forcepoint no qual é
mostrada a importância da abordagem analítica além do tradicional enfoque
defensivo.
Forcepoint
reforça a importância do ponto humano para a contenção das ciberameaças
Companhia enxerga
a abordagem analítica tão importante quanto a defensiva para as estratégias de
cibersegurança, com a tecnologia UEBA sendo crucial para a mitigação dos riscos
Muitas são as lacunas para se proteger contra as ciberameaças, que seguem em rápida evolução, enquanto as pessoas se mantêm constantes no que se refere às ações de acesso digital e estão no centro dos incidentes de segurança. Uma pesquisa mundial do Fórum de Segurança da Informação descobriu que a maioria das violações desastrosas veio de comportamentos acidentais ou inadvertidos de bons funcionários, sem intenção de prejudicar sua organização.
O ponto humano de interação entre pessoas, dados
críticos de negócios e propriedade intelectual - onde a tecnologia é mais
habilitadora e a segurança mais vulnerável - pode minar até mesmo os sistemas
de ciberdefesa mais robustos e abrangentes com um único ato malicioso ou
acidental. Para a Forcepoint, concentrar os esforços em proteger e analisar os
comportamentos digitais resultantes da interação humana com a tecnologia da
informação e dados críticos é uma oportunidade para causar um profundo impacto
na segurança e maximizar os investimentos.
Em evento realizado para clientes locais, a Forcepoint
explorou a abordagem da tecnologia de User
and Entity Behavior Analytics (UEBA) para a contenção mais eficaz das
ciberameaças, levantando o tema em discussão e esclarecimento dos participantes.
Através de análises preditivas e comportamentais, a UEBA investiga
continuamente os dados de várias fontes, mantendo um histórico preciso das
atividades de cada usuário para identificar incidentes anômalos aos perfis e
comportamentos padrões tanto de usuários como de entidades, como hosts,
aplicativos, repositórios de tráfego de rede e de dados.
Apenas o monitoramento das atividades nos acessos dos usuários ou um
simples sistema de alerta de incidentes (SIEM) podem não eliminar as brechas
para uma invasão ou furto de dados. Wellington Lobo, gerente de canais Brasil
da Forcepoint, explica que, “Enquanto a maioria das empresas se preocupa em
investir cada vez mais em sistemas de defesa para impedir as entradas de
ataques e violações, a contenção também que ser vista como prioridade para
eliminar ao máximo os pontos de riscos. UEBA
é uma tecnologia sofisticada e mais minuciosa que permite monitorar o
perfil de comportamento dos usuários e respectivos desvios, detectar atividades
incomuns, uso indevido de acessos privilegiados, manipulação de dados de alto
risco ou até mesmo auxiliar na identificação de ameaças persistentes avançadas,
sem acrescentar carga operacional e analítica à TI”.
De acordo com o executivo, o
crescente interesse por UEBA requer a avaliação sob dois pontos de vista: de
Gestão de Risco, em que o monitoramento dos usuários detecta atividades
proibidas ou não autorizadas por pessoas de confiança; e das Operações de Segurança,
em que há ganho de visibilidade nos casos de uso orientados à detecção de
ameaças, como de contas comprometidas por hackers externos, ameaças internas, tentativas
de exfiltração de dados, monitoramento das ações virtuais de funcionários, inclusive
para a gestão de acessos e identidades (IAM) e na segurança de acesso na nuvem (CASB).
Aliar UEBA a uma solução com
inteligência nas análises comportamentais, como disponibiliza a Forcepoint,
permite determinar as não conformidades de comportamento de acordo com os
processos de negócios e ainda a aplicação de ações concretas para outras
medidas, como no caso de enforcement nas
políticas de risco, em que monitora o cumprimento das regras predefinidas e
registra a responsabilidade nas ocorrências maliciosas para embasamento legal.
“Não existe um sistema que garanta 100% de segurança.
Mas temos que fechar todas as brechas possíveis e atingir o máximo de camadas
para chegar perto deste nível. Trabalhar com a defesa e mais na contenção
através das análises preditivas e comportamentais é o que realmente permite a
obtenção de uma consciência situacional direcionada às estratégias de
cibersegurança, com melhores tomadas de decisão e mitigação dos riscos”, avalia
Lobo.
Forcepoint
Insider Threat
Base do Forcepoint Insider Threat, solução da
Forcepoint para a proteção contra ameaças internas, a UEBA permite monitorar a
localização dos dados e seu movimento, assim como as ações do usuário que os
acessa, alterando e transportando dados. Isso inclui não somente funções que
afetam diretamente os dados, mas denunciam ações anteriores que indicam o aparecimento
de uma brecha de segurança.
O sistema pode criar impressões digitais de documentos
mais sensíveis como os de proteção de propriedade intelectual, permitindo
rastrear os ativos mais valiosos. Os dados de usuários coletados podem ser
visualizados como um replay de vídeo que mostra as teclas usadas, movimentos de
mouse, documentos abertos ou websites visitados. Esta capacidade única provê
evidências irrefutáveis sobre atividades do usuário, incluindo as ações offline ou em mobilidade.
“Hoje,
UEBA é a tecnologia mais poderosa contra insiders, uma vez que traça o
histórico do comportamento dos usuários e aplica seus recursos de aprendizagem
para estabeler o comportamento normal de cada um para colocar em visualização
de risco qualquer atividade fora do padrão. Essa poderosa tecnologia, aliada à
experiência da Forcepoint em proteger mais de 1 milhão de usuários, tanto de
agências governamentais como das maiores empresas do mundo, capacita nossa
solução a auferir a melhor auditoria de comportamento do mercado”, afirma William
Rodrigues, Sr Sales Engineer da Forcepoint.
Sobre a Forcepoint
Forcepoint está transformando a cibersegurança ao focar no que
mais importa: entender a intenção das pessoas ao interagir com os dados
críticos onde quer que eles residam. Nossos sistemas robustos permitem às
empresas capacitar os funcionários com livre acesso aos dados confidenciais,
protegendo ao mesmo tempo a propriedade intelectual e simplificando a
conformidade. Baseada em Austin, Texas, Forcepoint suporta mais de 20.000
organizações em todo o mundo. Para mais informações sobre Forcepoint, visite www.forcepoint.com e siga-nos no Twitter em @ForcepointSec.
Junte-se à
Forcepoint nas redes sociais
Instagram:
https://www.instagram.com/forcepoint
Nenhum comentário:
Postar um comentário