Blog Details

Durante muito tempo a segurança foi pensada como um processo reativo, ou seja, algo que todas as empresas precisavam lidar em algum caso de invasão, roubo de informação, incidentes com vírus, etc. Sistemas de Firewalls de nova geração são muito importantes para detecção e contenção da maioria das ameaças vindas de fora das empresas, mas isso basta?


Com certeza não! Nem sempre a ameaça vem de fora. Nem sempre é uma ameaça conhecida. O ataque pode partir de um funcionário descontente roubando informações importantes ou de um dispositivo com uma ameaça desconhecida vasculhando sua rede, nesses casos sistemas de “assinaturas de ataques/ameaças” não serão eficazes, a abordagem nesses casos tem de ser minuciosa.


As proteções existentes devem continuar, mas temos que pensar em algo mais para conter as ameaças avançadas.


Daí vem a utilidade do UEBA (User and Entity Behavior Analytics ou Analise comportamento de usuários e entidades), esse tipo de análise nasceu no marketing para constatar o comportamento dos compradores e impulsionar vendas. Em segurança o UEBA coleta os padrões de comportamentos humanos e através de algoritmos e estatísticas pode identificar anomalias e ameaças internas. Ferramentas mais avançadas podem gravar a tela do usuário nos momentos em que as fugas do padrão de comportamento ocorrem, assim podemos analisar se temos um funcionário descontente ou um atacante controlando o dispositivo. Dessa forma um grau de risco é atribuído a cada usuário. Da mesma forma dispositivos são monitorados em relação ao seu comportamento. Que sentido faz um roteador reiniciar sozinho na madrugada ou porque um sensor qualquer está recebendo acessos em volume igual ou maior que o volume de dados que ele envia? E por que um usuário que não grava arquivos em mídias removíveis, ou acessando fora do horário de trabalho, está fazendo isso?


Todas as informações geradas podem não significar nada sozinhas e podem gerar milhões de alertas que nunca serão analisados por ser humanamente impossível. A grande vantagem do UEBA é contextualização dessas informações e atribuir pontuação aos usuários/dispositivos, trazendo significado aos eventos de segurança e possibilitando tomadas de decisões imediatas.